Impatto Sistemico

Critico (77.05)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2026-42167 – già sanata dal vendor –  presente nel software ProFTPD, noto server FTP open source. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto non autenticato di eludere i meccanismi di autenticazione e di eseguire codice arbitrario sui sistemi interessati.

Tipologia

• Remote Code Execution
• Authentication Bypass
• Privilege Escalation

Prodotti e/o versioni affette

ProFTPD versioni fino alla 1.3.9

Descrizione e potenziali impatti

La vulnerabilità, tracciata tramite la CVE-2026-42167 – di tipo “SQL Injection” e con CVSS v3.1 pari a 8.1 – interessa il modulo mod_sql di ProFTPD, il quale registra i comandi FTP in un database usando SQLLog / SQLNamedQuery, inserendo valori della sessione come username o nomi di file.

Il modulo, per stabilire se questi valori debbano essere sanitizzati, usa la funzione is_escaped_text() , la quale effettua un test esclusivamente sintattico e, superato questo controllo, la stringa è considerata sicura e non viene applicato alcun escaping.

In tal modo, un attaccante potrebbe fornire un input opportunamente predisposto  che gli permetterebbe di iniettare ed eseguire istruzioni SQL arbitrarie complete o payload che potrebbero verosimilmente portare all’esecuzione di comandi di sistema.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.