Copyparty — портативный файловый сервер. До версии 1.20.12 отсутствовала проверка разрешений в функции общих ресурсов (глобальная опция shr). Эта уязвимость применяется только тогда, когда функция общего доступа используется для конкретной цели создания общего ресурса только для одного файла внутри папки или когда FTP- или SFTP-сервер включен, а также сделан общедоступным.
Учитывая эти условия, когда пользователь просматривает общий ресурс через FTP или SFTP (не http или https), он может получить доступ для чтения к остальным файлам внутри общей папки, угадав или перебрав имена файлов. Невозможно было спуститься в подкаталоги таким способом; были доступны только родственные файлы. Эта уязвимость аналогична CVE-2025-58753, которая ранее была исправлена для HTTP и HTTPS, но не для FTP.
FTPS-сервера в то время еще не существовало. Эта уязвимость исправлена в версии 1.20.12.
Показать оригинальное описание (EN)
Copyparty is a portable file server. Prior to 1.20.12, there was a missing permission-check in the shares feature (the shr global-option). This vulnerability only applies when the shares feature is used for the specific purpose of creating a share of just a single file inside a folder or either the FTP or SFTP server is enabled, and also made publicly accessible. Given these conditions, when a user is browsing a share through either FTP or SFTP (not http or https), they can gain read-access to the remaining files inside the shared folder by guessing/bruteforcing the filenames. It was not possible to descend into subdirectories in this manner; only the sibling files were accessible. This vulnerability is similar to CVE-2025-58753 which was previously fixed for HTTP and HTTPS, but not for FTP. The FTPS server did not yet exist at that time. This vulnerability is fixed in 1.20.12.
Характеристики атаки
Последствия
Строка CVSS v4.0