Impatto Sistemico

Alto (69.23)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2025-34299 – già sanata dal vendor – presente in Monsta FTP, client FTP per ambienti web. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a utenti malintenzionati remoti di eseguire codice arbitrario sul sistema target tramite un server FTP opportunamente predisposto.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2025-34299 – di tipo “Remote Code Execution” e con score CVSS v3.x pari a 10– presente in Monsta FTP, client FTP per ambienti web.

In dettaglio, la vulnerabilità–correlata alla CVE-2022-27468, per la quale è stata rilasciata una correzione incompleta–interessa la funzionalità di download di file, ed è causata da un’incompleta validazione del percorso di salvataggio del file, fornito dall’utente. La vulnerabilità potrebbe consentire a un utente malintenzionato, tramite un file opportunamente predisposto su server FTP da lui controllato, di scaricare tale file in un percorso arbitrario, portando potenzialmente all’esecuzione di codice.

Prodotti e/o versioni affette

Monsta FTP, versioni precedenti alla 2.11.3

Azioni di mitigazione

Ove non provveduto, si raccomanda di mantenere aggiornati i prodotti vulnerabili all’ultima versione disponibile.