支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-34299 基础信息
漏洞信息
                                        # Monsta FTP 2.11 未授权文件上传漏洞

## 概述

Monsta FTP 2.11及之前版本存在一个未认证的任意文件上传漏洞。

## 影响版本

- Monsta FTP <= 2.11

## 细节

攻击者可在未认证的情况下,通过上传精心构造的文件,利用该漏洞实现任意代码执行。该文件可来源于恶意的(S)FTP服务器。

## 影响

- 未经身份验证的任意文件上传
- 可导致远程代码执行(RCE)
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Monsta FTP的2.11及更早版本中,服务端存在未授权的任意文件上传漏洞。此漏洞允许攻击者通过从恶意的(S)FTP服务器上传特殊构造的文件来执行任意代码。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Monsta FTP <= 2.11 Unauthenticated Arbitrary File Upload
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Monsta FTP versions 2.11 and earlier contain a vulnerability that allows unauthenticated arbitrary file uploads. This flaw enables attackers to execute arbitrary code by uploading a specially crafted file from a malicious (S)FTP server.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
Monsta FTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Monsta FTP是新西兰Monsta公司的一款轻量级文件管理器。它支持文件传输、文件管理和文档编辑等功能。 Monsta FTP 2.11及之前版本存在安全漏洞,该漏洞源于允许未经身份验证的任意文件上传,可能导致执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34299 的公开POC
#POC 描述源链接神龙链接
1Detection for CVE-2025-34299https://github.com/rxerium/CVE-2025-34299POC详情
2CVE-2025-34299https://github.com/B1ack4sh/Blackash-CVE-2025-34299POC详情
3MonstaFTP Unauthenticated File Uploadhttps://github.com/Chocapikk/CVE-2025-34299POC详情
4CVE-2025-34299https://github.com/Ashwesker/Blackash-CVE-2025-34299POC详情
5Monsta FTP = 2.11 contains an unrestricted file upload vulnerability caused by lack of authentication on file uploads, letting unauthenticated attackers execute arbitrary code by uploading crafted files. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-34299.yamlPOC详情
6Docker test environment for CVE-2025-34299 - Monsta FTP Pre-Auth RCE vulnerabilityhttps://github.com/KrE80r/CVE-2025-34299-labPOC详情
7CVE-2025-34299https://github.com/Ashwesker/Ashwesker-CVE-2025-34299POC详情
三、漏洞 CVE-2025-34299 的情报信息

  • 标题: Monsta FTP <= 2.11 Unauthenticated Arbitrary File Upload | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            以下是关于该漏洞的关键信息,以简洁的Markdown格式呈现:

### 漏洞信息概览

- **标题:** Monsta FTP <= 2.11 Unauthenticated Arbitrary File Upload
- **严重性:** CRITICAL
- **日期:** November 7, 2025

#### 影响范围
- **受影响软件:** Monsta FTP <= 2.11

#### 漏洞标识
- **CVE编号:** CVE-2025-34299

#### 漏洞类型
- **CWE编号:** CWE-434 Unrestricted Upload of File with Dangerous Type

#### CVSS评分
- **CVSS评分:** 9.3
- **CVSS V4向量:** CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

#### 参考资料
- [Monsta FTP Release Notes](link-to-release-notes)
- [watchTowr Blog](link-to-watchtowr-blog)

#### 描述
Monsta FTP versions 2.11 and earlier contain a vulnerability that allows unauthenticated arbitrary file uploads. This flaw enables attackers to execute arbitrary code by uploading a specially crafted file from a malicious (S)FTP server. 

#### 发现者
- **发现者:** Sonny of watchTowr
    Monsta FTP <= 2.11 Unauthenticated Arbitrary File Upload | Advisories | VulnCheck

  • 标题: What’s That Coming Over The Hill? (Monsta FTP Remote Code Execution CVE-2025-34299) -- 🔗来源链接

    标签:technical-descriptionexploit

    神龙速读:
                                            该链接的内容为空,无法处理。
    What’s That Coming Over The Hill? (Monsta FTP Remote Code Execution CVE-2025-34299)

  • 标题: Release Notes - Monsta FTP -- 🔗来源链接

    标签:release-notespatch

    神龙速读:
                                            从截图中获取的关键漏洞信息如下:

- **版本 2.11.1:**
  - 解决了文件获取中的安全问题。
  - 修复了zip解压问题。
  - 其他次要修复。

- **版本 2.11:**
  - 升级了PHP 安全库到版本 3。
  - 增加了CSRF防护。
  - 添加了安全审计文件。
  - 处理了其他一些安全相关的改进和修复。

总结来说,主要的安全修复集中在 **文件操作**(如文件提取和上传)、**CSRF防护** 和**安全审计文件**等相关问题。这些更新强调了对系统安全漏洞的及时修补以及用户操作安全的加强。
    Release Notes - Monsta FTP
  • https://nvd.nist.gov/vuln/detail/CVE-2025-34299
四、漏洞 CVE-2025-34299 的评论

暂无评论

发表评论