Plugin

關於 Plugin 系列

指標

攻擊指標 (IoA)

曝險指標 (IoE)

連結

Tenable Community 與支援

Tenable University

設定

嚴重性

主題

偵測

Plugin

關於 Plugin 系列

指標

攻擊指標 (IoA)

曝險指標 (IoE)

ProFTPD 使用者名稱變數取代 SQL 插入

high Nessus Plugin ID 35690

語系：

概要

遠端 FTP 伺服器受到一個 SQL 插入弱點影響。

說明

遠端主機正在使用 ProFTPD，其為適用於 Unix 和 Linux 的免費 FTP 伺服器。

遠端主機上執行的 ProFTPD 版本具有變數替換功能，攻擊者可濫用此功能來發動 SQL 插入攻擊。例如，遠端攻擊者可使用包含百分號字元 (「％」)、單引號和 SQL 程式碼的特製使用者名稱來繞過驗證。

解決方案

升級至 ProFTPD 1.3.2rc3 或更新版本。

另請參閱

https://www.securityfocus.com/archive/1/500823/30/0/threaded

http://bugs.proftpd.org/show_bug.cgi?id=3124

http://bugs.proftpd.org/show_bug.cgi?id=3180

http://www.nessus.org/u?53aa5065

http://www.nessus.org/u?bc606125

http://comments.gmane.org/gmane.comp.security.oss.general/1489

Plugin 詳細資訊

嚴重性: High

ID: 35690

檔案名稱: proftpd_user_sql_injection.nasl

版本: 1.19

類型: remote

系列: FTP

已發布: 2009/2/17

已更新: 2018/11/15

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: cpe:/a:proftpd:proftpd

排除在外的 KB 項目: global_settings/supplied_logins_only

可被惡意程式利用: true

可輕鬆利用: Exploits are available

由 Nessus 利用: true

可惡意利用

CANVAS (D2ExploitPack)

參考資訊

CVE: CVE-2009-0542

BID: 33722

CWE: 89

Secunia: 33842