Уязвимость проверки правильности ввода обнаружена в PlatinumFTPserver. Удаленный авторизованный пользователь может просматривать содержание каталогов, расположенных вне FTP root каталога и вызывать отказ в обслуживании.

Как сообщается, удаленный авторизованный пользователь, в т.ч. и анонимный пользователь, может
выполнить  команды, которые включают последовательность ‘\ ..’, чтобы обойти разрешенные каталоги. Пример: 

dir \..\..\..\..\..\

Удаленный авторизованный пользователь может также создавать новые каталоги на системе и также способен удалять произвольные файлы.
Кроме того удаленный авторизованный пользователь может заставить FTP сервер потреблять 100% доступных ресурсов,
следующей командой: 

cd @/..@/..

Уязвимость обнаружена в PlatinumFTPserver 1.0.7.



Оставить мнение