【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

2024年6月15日12:02:09评论3 views字数 759阅读2分31秒阅读模式

【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995) 漏洞公告

近日，中国电信SRC监测到SolarWinds官方发布安全公告，SolarWinds Serv-U存在目录遍历漏洞(CVE-2024-28995)。SolarWinds Serv-U 容易受到目录横向漏洞的影响，未经身份认证的远程攻击者通过构造特殊的请求可以下载读取远程目标系统上的任意文件，对机密性造成很高的影响。目前该漏洞技术细节与EXP已公开，请受影响用户尽快采取措施进行防护。当前官方已发布新版本，建议用户及时更新对应补丁修复漏洞。

参考链接：https://www.solarwinds.com/trust-center/security-advisories/CVE-2024-28995

【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

影响版本

受影响版本：

SolarWinds Serv-U FTP Server <= 15.4.2 Hotfix 1

SolarWinds Serv-U Gateway <= 15.4.2 Hotfix 1

SolarWinds Serv-U MFT Server <= 15.4.2 Hotfix 1

【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

漏洞描述

SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995)：SolarWinds Serv-U FTP存在目录遍历文件读取漏洞，未授权的攻击者可构造恶意请求读取任意文件，造成敏感信息泄漏。

细节是否公开	POC状态/EXP状态	在野利用
是	已公开	未发现

解决方案

官方建议：

目前官方已有可更新版本，建议受影响用户升级至最新版本：

下载链接：https://www.solarwinds.com/zh/ftp-server-software

【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

点亮“在看”，你最好看

原文始发于微信公众号（中国电信SRC）：【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

32%的微软SQL服务器下月过期

离职工程师删除180个虚拟机被判刑

MongoDB 中全新原型污染小工具可导致 RCE

利用 CVE-2024-0044 漏洞从 Android 12 和 13 上的应用程序中窃取敏感用户数据

网安简报【2024/6/17】

为了寻找外星人，造福全人类，他黑掉了美国军方和NASA

解密：看不见的广告

240617 泄露数据线索

员工将敏感文件伪装成常规文件外发，如何阻断数据外流？

加密支付提供商CoinsPaid 遭朝鲜黑客攻击细节：假招聘、贿赂和操纵员工

发表评论

在线咨询

微信