Vulnerabilidad en Fastream NETFile FTP/Web Server

Julio 04, 04 by admin

Fastream NETFile es un software de transferencia de ficheros a traves de HTTP y FTP con una interfaz muy intuitiva y de muy sencilla instalacion.

El equipo de shellsec ha encontrado que existe un fallo de seguridad en las versiones anteriores a la 6.7.3 que permitiría a un usuario malicioso borrar y crear ficheros y carpetas fuera del directorio raiz de la aplicacion y llegar a ganar control sobre el sistema. Esta vulnerabilidad podria ser utilizada para dejar aplicaciones en el sistema que serian ejecutadas al inicio de la sesión del usuario o al acceder a la unidad del disco usando para ello un fichero autorun.inf especialmente creado.

El problema reside en una mala validación de los parámetros de entrada lo que permite poder incluir sentencias con una doble barra "..//" para saltarse el directorio raiz de la aplicación.

Esta falta de validacion provoca que sea posible causar una denegacion de servicio a traves del servicio FTP deteniendo todas las transferencias de los clientes y evitando que puedan loguearse durante un período de tiempo que puede llegar al minuto.

Para mas informacion, el advisory Original esta publicado en la siguiente direccion: http://www.shellsec.net/leer_advisory.php?id=3

This entry no have comments... but you can be first.

Leave a Reply