一、 漏洞 CVE-2025-24366 基础信息
漏洞信息
# SFTPGo中对用户提供的rsync命令净化不足
## 概述
SFTPGo 是一个开源的事件驱动的文件传输解决方案。它支持通过 SSH 执行一组预定义的命令。其中,`rsync` 是一个可选命令,尽管默认情况下是禁用的,并且仅限于本地文件系统。
## 影响版本
- 漏洞影响在 v2.6.5 之前的版本。
## 细节
SFTPGo 在处理客户端提供的 `rsync` 命令时未进行适当的身份验证和过滤。这允许经过身份验证的远程用户通过特定的 `rsync` 选项读取或写入 SFTPGo 服务器进程权限下的文件。
## 影响
此漏洞允许攻击者以 SFTPGo 服务器进程的权限读取或写入文件,从而可能导致敏感信息泄漏或系统文件被篡改。该漏洞已在 v2.6.5 版本中修复,建议用户升级。目前没有已知的缓解措施。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-24366 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-24366 的情报信息
-
标题: Insufficient sanitization of user provided rsync command · Advisory · drakkan/sftpgo · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
-
标题: rsync: enforce a supported format and limit the allowed options · drakkan/sftpgo@b347ab6 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-24366
四、漏洞 CVE-2025-24366 的评论
暂无评论