Core FTP 客户端 LIST命令响应目录遍历漏洞

CNNVD-ID编号 CNNVD-200806-034
CVE编号 CVE-2008-2519
发布时间 2008-05-23
更新时间 2008-09-05
漏洞类型 路径遍历
漏洞来源 Tan Chew Keong chewkeong@security.org.sg
危险等级 中危
威胁类型 远程
厂 商 core_ftp

漏洞介绍

Core FTP是Core FTP社区的一套免费的FTP客户端软件。该软件支持文件的上传、下载、续传等。

Core FTP客户端没有正确地过滤FTP服务器响应LIST命令所返回的包含有目录遍历序列(斜线和反斜线)的文件名,如果用户受骗从恶意的FTP服务器下载了目录的话,就可能导致目录遍历攻击,以该用户的权限向系统中任意位置写入文件。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源