CVE-2026-8328
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
Podatność w funkcji ftpcp() w module ftplib.py języka Python. Funkcja ta nie została zaktualizowana podczas naprawy CVE-2021-4189, co pozwala atakującemu na kontrolowanie adresu IP i portu przekazywanego do target.sendport().
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przekierowania połączenia FTP na dowolny adres IP i port, co może prowadzić do ataków typu SSRF (Server-Side Request Forgery) lub ominięcia zabezpieczeń sieciowych.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Pythona do wersji, w której funkcja ftpcp() została poprawnie załatana, aby używała rzeczywistego adresu IP serwera zamiast adresu dostarczonego przez atakującego.
Oryginalny opis (angielski, źródło NVD)
The ftpcp() function in Lib/ftplib.py was not updated when CVE-2021-4189 was fixed. While makepasv() was patched to replace server-supplied PASV host addresses with the actual peer address (getpeername()[0]), ftpcp() still calls parse227() directly and passes the raw attacker-controllable IP address and port to target.sendport(). This patch is related to CVE-2021-4189.

