CVE-2019-25614
CriticalSummary
Free Float FTP 1.0 zawiera podatność na przepełnienie bufora w obsłudze komendy STOR, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez wysłanie spreparowanego żądania STOR z nadmiernym ładunkiem. Atakujący mogą uwierzytelnić się za pomocą anonimowych danych logowania i wysłać złośliwą komendę STOR zawierającą 247 bajtów wypełnienia, a następnie adres powrotu i shellcode, aby wywołać wykonanie kodu na serwerze FTP.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem FTP. Atakujący mogą wykorzystać tę lukę do wprowadzenia złośliwego oprogramowania lub kradzieży danych.
Recommendation
Zaleca się aktualizację oprogramowania Free Float FTP do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do serwera FTP tylko dla zaufanych użytkowników oraz monitorowanie logów w celu wykrywania podejrzanych działań.
Original NVD description (English source)
Free Float FTP 1.0 contains a buffer overflow vulnerability in the STOR command handler that allows remote attackers to execute arbitrary code by sending a crafted STOR request with an oversized payload. Attackers can authenticate with anonymous credentials and send a malicious STOR command containing 247 bytes of padding followed by a return address and shellcode to trigger code execution on the FTP server.

