Katalog CVE

CVE-2026-8328

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 32 - wyżej niż 32% wszystkich znanych CVE

Streszczenie

Podatność w funkcji ftpcp() w module ftplib.py języka Python. Funkcja ta nie została zaktualizowana podczas naprawy CVE-2021-4189, co pozwala atakującemu na kontrolowanie adresu IP i portu przekazywanego do target.sendport().

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przekierowania połączenia FTP na dowolny adres IP i port, co może prowadzić do ataków typu SSRF (Server-Side Request Forgery) lub ominięcia zabezpieczeń sieciowych.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Pythona do wersji, w której funkcja ftpcp() została poprawnie załatana, aby używała rzeczywistego adresu IP serwera zamiast adresu dostarczonego przez atakującego.

Oryginalny opis (angielski, źródło NVD)

The ftpcp() function in Lib/ftplib.py was not updated when CVE-2021-4189 was fixed. While makepasv() was patched to replace server-supplied PASV host addresses with the actual peer address (getpeername()[0]), ftpcp() still calls parse227() directly and passes the raw attacker-controllable IP address and port to target.sendport(). This patch is related to CVE-2021-4189.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS