CVE-2025-14242
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 - wyżej niż 50% wszystkich znanych CVE
Streszczenie
W vsftpd wykryto podatność na atak DoS spowodowany przepełnieniem liczby całkowitej podczas parsowania parametrów polecenia ls. Zdalny, uwierzytelniony atakujący może wywołać awarię serwera, wysyłając spreparowane polecenie STAT z określoną sekwencją bajtów.
Ocena ryzyka
Ryzyko polega na możliwości przerwania działania serwera FTP przez uwierzytelnionego użytkownika, co może prowadzić do niedostępności usługi dla innych klientów.
Rekomendacja
Należy niezwłocznie zaktualizować vsftpd do wersji zawierającej poprawkę usuwającą podatność na przepełnienie liczby całkowitej.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in vsftpd. This vulnerability allows a denial of service (DoS) via an integer overflow in the ls command parameter parsing, triggered by a remote, authenticated attacker sending a crafted STAT command with a specific byte sequence.

