【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)

中国电信SRC 电信安全SRC 2024-06-14 16:35

漏洞公告

近日，中国电信SRC监测到
SolarWinds官方发布安全公告，SolarWinds Serv-U存在目录遍历漏洞(CVE-2024-28995)。
SolarWinds Serv-U 容易受到目录横向漏洞的影响，未经身份认证的远程攻击者通过构造特殊的请求可以下载读取远程目标系统上的任意文件，对机密性造成很高的影响。目前该漏洞技术细节与EXP已公开
，
请受影响用户尽快采取措施进行防护。当前官方已发布新版本，建议用户及时更新对应补丁修复漏洞。

参考链接：
https://www.solarwinds.com/trust-center/security-advisories/CVE-2024-28995****

影响版本

受影响版本：

SolarWinds Serv-U FTP Server <= 15.4.2 Hotfix 1

SolarWinds Serv-U Gateway <= 15.4.2 Hotfix 1

SolarWinds Serv-U MFT Server <= 15.4.2 Hotfix 1

漏洞描述

SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995)
：
SolarWinds Serv-U FTP存在目录遍历文件读取漏洞，未授权的攻击者可构造恶意请求读取任意文件，造成敏感信息泄漏。

细节是否公开	POC状态/EXP状态	在野利用
是	已公开	未发现

解决方案

官方建议：

目前官方已有可更新版本，建议受影响用户升级至最新版本：

下载链接：https://www.solarwinds.com/zh/ftp-server-software

点亮“在看”，你最好看