一、漏洞详情

Monsta FTP是一款基于浏览器的FTP/SFTP客户端。

近日，监测到一个存在于Monsta FTP的远程代码执行（RCE）漏洞。攻击者利用该漏洞可通过诱导受害者的Monsta FTP实例连接到恶意的SFTP服务器，下载攻击者控制的恶意文件，并将其写入目标服务器的任意路径。该漏洞的根本原因在于Monsta FTP在处理文件下载操作时，未能正确验证用户提供的文件路径。攻击者能够通过构造特制的HTTP请求，指定下载文件的路径并利用该漏洞在服务器上执行恶意代码。

建议校园网用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

2.10.3 <= Monsta FTP <= 2.11.2

三、修复建议

官方已发布修复补丁，可修复该漏洞。建议升级Monsta FTP 版本到 2.11.3以上。