Базовый FTP 2.0, сборка 653, содержит уязвимость типа «отказ в обслуживании» в команде PBSZ, которая позволяет неаутентифицированным злоумышленникам аварийно завершить работу службы, отправив неверную команду с слишком большим буфером. Злоумышленники могут отправить команду PBSZ с полезной нагрузкой, превышающей 211 байт, чтобы вызвать нарушение доступа и сбой процесса FTP-сервера.
Показать оригинальное описание (EN)
Core FTP 2.0 build 653 contains a denial of service vulnerability in the PBSZ command that allows unauthenticated attackers to crash the service by sending a malformed command with an oversized buffer. Attackers can send a PBSZ command with a payload exceeding 211 bytes to trigger an access violation and crash the FTP server process.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
http://coreftp.com/server/download/archive/CoreFTPServer653.exe
disclosure@vulncheck.com
http://www.coreftp.com/
disclosure@vulncheck.com
https://www.exploit-db.com/exploits/46532
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/core-ftp-build-653-pbsz-unauthenticated-de…
disclosure@vulncheck.com