漏洞关键信息 标题 Fetch Softworks Fetch FTP Client 5.8 Remote CPU Consumption (Denial of Service) 建议编号 ZSL-2022-5696 类型 Local/Remote 影响 DoS 风险 2/5 发布日期 27.01.2022 摘要 当收到超过2K字节的长服务器响应后,该应用程序易受DoS攻击,导致100% CPU消耗。 描述 Fetch是一个可靠且功能全面的文件传输客户端,适用于Apple Macintosh,其用户界面强调简洁易用。Fetch支持FTP和SFTP,这是因特网上最流行的文件传输协议,与数以千计的互联网服务提供商、网络托管公司、出版商、预印公司等都兼容。 供应商 Fetch Softworks - https://www.fetchsoftworks.com 影响到的版本 5.8.2 (5K1354) 测试于 macOS Monterey 12.2 macOS Big Sur 11.6.2 供应商状态 N/A 证明概念 fetchftp_cpu.py 致谢 漏洞由Gjoko Krstic - 发现 参考资料 [1] https://packetstormsecurity.com/files/165769/ [2] https://cxsecurity.com/issue/WLB-2022010141 [3] https://exchange.xforce.ibmcloud.com/vulnerabilities/218386 [4] https://www.exploit-db.com/exploits/50696 更新日志 [27.01.2022] - 初始发布 [01.02.2022] - 添加参考[1]、[2]和[3] [02.02.2022] - 添加参考[4] 联系方式 Zero Science Lab Web: https://www.zeroscience.mk e-mail: lab@zeroscience.mk