Monsta FTP 远程代码执行漏洞(CVE-2025-34299)
一、漏洞概述
漏洞名称 | Monsta FTP 远程代码执行漏洞 | ||
CVE ID | CVE-2025-34299 | ||
漏洞类型 | RCE | 发现时间 | 2025-11-10 |
漏洞评分 | 9.3 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
Monsta FTP是一款基于浏览器的FTP/SFTP客户端,使用PHP和AJAX开发,用户可通过浏览器直接访问远程服务器、上传、下载、编辑文件,而无需在本地安装桌面FTP软件。
2025年11月10日,启明星辰集团VSRC监测到一个存在于Monsta FTP的远程代码执行(RCE)漏洞。攻击者利用该漏洞可通过诱导受害者的Monsta FTP实例连接到恶意的SFTP服务器,下载攻击者控制的恶意文件,并将其写入目标服务器的任意路径。该漏洞的根本原因在于Monsta FTP在处理文件下载操作时,未能正确验证用户提供的文件路径。攻击者能够通过构造特制的HTTP请求,指定下载文件的路径并利用该漏洞在服务器上执行恶意代码。漏洞评分9.3分,漏洞级别严重。
二、影响范围
2.10.3 <= Monsta FTP <= 2.11.2
三、安全措施
3.1 升级版本
下载链接:https://www.monstaftp.com/download/
3.2 临时措施
暂无。
3.3 通用建议
3.4 参考链接
https://labs.watchtowr.com/whats-that-coming-over-the-hill-monsta-ftp-remote-code-execution-cve-2025-34299/