Fortra 本周发布了针对2023 年 8 月首次发现的严重漏洞的更新。

该漏洞编号为 CVE-2024-25153，CVSS 严重程度评分为 9.8，对该公司的 FileCatalyst 文件传输产品构成威胁。该公司表示，这种软件可以“通过远程网络传输大文件，但会出现高延迟或数据包丢失”。

如果未经身份验证的威胁参与者在受影响的服务器上远程执行任意代码，则可以利用该漏洞。

Fortra 在其公告中表示：“FileCatalyst 工作流 Web 门户的‘ftpservlet’内的目录遍历允许使用特制的 POST 请求将文件上传到预期的‘uploadtemp’目录之外。 ” “在文件成功上传到门户网站 DocumentRoot 的情况下，可以使用特制的 JSP 文件来执行代码，包括 Web shell。”

尽管自几个月前首次报告以来，Fortra 就已意识到该漏洞，但现在应最初报告该漏洞的个人的要求发布了 CVE。

Fortra 报告称，受此错误影响的产品是其 Fortra FileCatalyst Workflow 5.x 软件，建议升级到 5.1.6 Build 114 或更高版本以修复该问题。

文章原文链接:https://www.anquanke.com/post/id/294108