Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04967

Опубликовано: 07 июн. 2024
Источник: fstec
CVSS3: 5.4
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость интерфейсов WebAdmin и WebClient сервера обмена и хранения файлов SFTPGo связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности путем сброса пароля пользователя и повысить свои привилегии

Вендор

Nicola Murino

Наименование ПО

SFTPGo

Версия ПО

от 2.2.0 до 2.6.1 (SFTPGo)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/advisories/GHSA-hw5f-6wvv-xcrh
https://github.com/drakkan/sftpgo/commit/1f8ac8bfe16100b0484d6c91e1e8361687324423
https://github.com/drakkan/sftpgo/releases/tag/v2.6.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00171
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-37897

CVSS3: 5.4
nvd
больше 1 года назад

SFTPGo is a full-featured and highly configurable SFTP, HTTP/S, FTP/S and WebDAV server - S3, Google Cloud Storage, Azure Blob. SFTPGo WebAdmin and WebClient support password reset. This feature is disabled in the default configuration. In SFTPGo versions prior to v2.6.1, if the feature is enabled, even users with access restrictions (e.g. expired) can reset their password and log in. Users are advised to upgrade to version 2.6.1. Users unable to upgrade may keep the password reset feature disabled or set a blank email address for users and admins with access restrictions so they cannot receive the email with the reset code and exploit the vulnerability.

debian логотип

CVE-2024-37897

CVSS3: 5.4
debian
больше 1 года назад

SFTPGo is a full-featured and highly configurable SFTP, HTTP/S, FTP/S ...

github логотип

GHSA-hw5f-6wvv-xcrh

CVSS3: 6.5
github
больше 1 года назад

SFTPGo has insufficient access control for password reset

EPSS

Процентиль: 39%
0.00171
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2