Vulnerabilidad en SFTPGo (CVE-2024-37897)

SFTPGo es un servidor SFTP, HTTP/S, FTP/S y WebDAV con todas las funciones y altamente configurable: S3, Google Cloud Storage, Azure Blob. SFTPGo WebAdmin y WebClient admiten el restablecimiento de contraseña. Esta característica está deshabilitada en la configuración predeterminada. En las versiones de SFTPGo anteriores a la v2.6.1, si la función está habilitada, incluso los usuarios con restricciones de acceso (por ejemplo, vencidas) pueden restablecer su contraseña e iniciar sesión. Se recomienda a los usuarios que actualicen a la versión 2.6.1. Los usuarios que no puedan actualizar pueden mantener la función de restablecimiento de contraseña desactivada o establecer una dirección de correo electrónico en blanco para los usuarios y administradores con restricciones de acceso para que no puedan recibir el correo electrónico con el código de restablecimiento y explotar la vulnerabilidad.