BulletProof FTP Server 2019.0.0.50 содержит уязвимость отказа в обслуживании в поле DNS-адреса, которая позволяет локальным злоумышленникам аварийно завершить работу приложения, указав слишком длинную строку. Злоумышленники могут включить опцию DNS-адреса в настройках брандмауэра и вставить буфер размером 700 байт, чтобы вызвать сбой при вызове функции тестирования.
Показать оригинальное описание (EN)
BulletProof FTP Server 2019.0.0.50 contains a denial of service vulnerability in the DNS Address field that allows local attackers to crash the application by supplying an excessively long string. Attackers can enable the DNS Address option in the Firewall settings and paste a buffer of 700 bytes to trigger a crash when the Test function is invoked.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Bpftpserver Bulletproof_Ftp_Server
cpe:2.3:a:bpftpserver:bulletproof_ftp_server:2019.0.0.50:*:*:*:*:*:*:*
|
— | — |
Ссылки 4
http://bpftpserver.com/
disclosure@vulncheck.com
http://bpftpserver.com/products/bpftpserver/windows/download
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/46875
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/bulletproof-ftp-server-denial-of-service-v…
disclosure@vulncheck.com