Vulnérabilité dans ProFTPD
Date de publication :
Une vulnérabilité a été découverte dans ProFTPD, un serveur FTP libre. Elle peut permettre à un attaquant distant ayant des droits limités d’exécuter du code arbitraire sur un système vulnérable.
CVE-2020-9273 [Score CVSS v3 : 8.8] : Dans ProFTPD, il est possible de corrompre un bloc mémoire en interrompant un canal de transfert de données. Cette interruption permet l’exploitation d’une vulnérabilité de type « use-after-free » dans la fonction alloc_pool.
Une vulnérabilité « use-after-free » est due à l’accès par un programme à une zone mémoire après que celle-ci ait été libérée. Cela peut être exploité pour causer un arrêt inattendu du programme, exécuter du code arbitraire ou effectuer une élévation de privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Elévation de privilèges
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Un PoC est disponible publiquement
Composants vulnérables
- ProFTPD versions antérieures à la 1.3.5e, 1.3.6c et 1.3.7rc3
CVE
- CVE-2020-9273
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour ProFTPD vers les versions 1.3.5e, 1.3.6c ou 1.3.7rc3.
Solution de contournement
- Aucune solution de contournement n’est disponible