Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WS_FTP Server (CVE-2024-7744)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
28/08/2024
Última modificación:
04/09/2024

Descripción

En las versiones de WS_FTP Server anteriores a la 8.8.8 (2022.0.8), una vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido ("Path Traversal") en el módulo de transferencia web permite el descubrimiento de archivos, el sondeo de archivos del sistema, el nombre de archivo controlado por el usuario y Path Traversal. Se ha identificado una falla de descarga de archivos autenticados en la que un usuario puede crear una llamada API que le permite descargar un archivo desde una carpeta arbitraria en la unidad donde se encuentra la carpeta raíz del host de ese usuario (de manera predeterminada, es C:)

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:progress:ws_ftp_server:*:*:*:*:*:*:*:* 8.8.8 (excluyendo)