Serv-u File Server
Уязвимости
34
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.86867
Распределение по критичности
Критический
9
Высокий
7
Средний
17
Низкий
1
Затронутые диапазоны версий
< 15.2≤ 11.1.0.3≤ 4.1.0.3≤ 5.0.0.0≤ 5.0.0.11≤ 5.0.0.4≤ 6.1.0.1
Также сопоставлено как (исходные строки): serv-u file server,serv-u_file_server
Топ уязвимостей
CVE-2009-4006Переполнение буфера на основе стека в алгоритме декодирования TEA в RhinoSoft Serv-U FTP server 7.0.0.1, 9.0.0.5 и других версиях до 9.1.0.0 позволяет удаленным злоумышленникам выполнять произвольный код через длинную шестнадцатеричную строку.
CVE-2004-2532Serv-U FTP server до версии 5.1.0.0 имеет учетную запись и пароль по умолчанию для локального администрирования, что позволяет локальным пользователям выполнять произвольные команды, подключаясь к серверу с использованием учетной записи администратора по умолчанию, создавая нового пользователя, входя в систему как этот новый пользователь, а затем используя команду SITE EXEC.
CVE-2004-0330Переполнение буфера в Serv-U ftp до версии 5.0.0.4 позволяет удаленным аутентифицированным пользователям выполнить произвольный код через длинный аргумент часового пояса для команды MDTM.
BDU:2025-14671Уязвимость файлового сервера SolarWinds Serv-U File Server связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2025-14670Уязвимость файлового сервера SolarWinds Serv-U File Server связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2025-14662Уязвимость файлового сервера SolarWinds Serv-U File Server связана с неправильным кодированием или экранированием выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2011-4800Уязвимость обхода каталогов в Serv-U FTP Server до 11.1.0.5 позволяет удаленным аутентифицированным пользователям читать и записывать произвольные файлы, а также перечислять и создавать произвольные каталоги через "..:/" (две точки, двоеточие, прямой слеш) в командах (1) list, (2) put или (3) get.
CVE-2008-4501Уязвимость обхода каталогов в FTP-сервере в Serv-U 7.0.0.1 до 7.3, включая 7.2.0.1, позволяет удаленным аутентифицированным пользователям перезаписывать или создавать произвольные файлы через ..\ (две точки с обратной косой чертой) в команде RNTO.
BDU:2021-04014Уязвимость реализации протокола SSH файлового сервера SolarWinds Serv-U File Server операционных систем Windows связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или повысить свои привилегии
BDU:2024-04650Уязвимость файлового сервера SolarWinds Serv-U File Server связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение к файлам на сервере
CVE-2004-2111Переполнение буфера на основе стека в команде site chmod в Serv-U FTP Server до версии 4.2 позволяет удаленным злоумышленникам выполнять произвольный код через длинное имя файла.
BDU:2024-03231Уязвимость файлового сервера SolarWinds Serv-U File Server связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2009-1031Уязвимость обхода каталогов в FTP-сервере в Rhino Software Serv-U File Server 7.0.0.1 - 7.4.0.1 позволяет удаленным злоумышленникам создавать произвольные каталоги через \.. (обратная косая черта, точка, точка) в запросе MKD.
BDU:2014-00411Уязвимость программного обеспечения Serv-U File Server, связанная с ошибками, возникающими при обработке значений переменных приложения. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику узнать конфигурацию системы, в том числе аутентификационные данные пользователей
CVE-2001-1463Клиент удаленного администрирования для RhinoSoft Serv-U 3.0 отправляет пароль пользователя в открытом виде, даже если включена аутентификация S/KEY One-Time Password (OTP), что позволяет удаленным злоумышленникам перехватывать пароли.
BDU:2025-07025Уязвимость файлового сервера SolarWinds Serv-U File Server связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем подключения к TCP-порту 21
BDU:2014-00410Уязвимость программного обеспечения Serv-U File Server, связанная с ошибками в коде форм веб-интерфейса. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику изменить конфигурацию системы
CVE-2021-25179SolarWinds Serv-U до версии 15.2 подвержен межсайтовому скриптингу (XSS) через заголовок HTTP Host.
CVE-2009-3655Rhino Software Serv-U 7.0.0.1 до 8.2.0.3 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой сервера) через неуказанные векторы, связанные с FTP-командой "SITE SET TRANSFERPROGRESS ON".
CVE-2005-3467Serv-U FTP Server до версии 6.1.0.4 позволяет злоумышленникам вызывать отказ в обслуживании (сбой) через (1) поврежденные пакеты и, возможно, другие неуказанные проблемы с неизвестным воздействием и векторами атак, включая (2) использование "~" в имени пути и (3) потребление памяти демоном. ПРИМЕЧАНИЕ: неясно, являются ли элементы (2) и выше уязвимостями.
CVE-2004-2533Serv-U FTP Server 4.1 (возможно, 4.0) позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения) через команду SITE CHMOD с "\\...\", за которой следует короткая строка, вызывающая частичное повреждение памяти, что является другой уязвимостью, чем CVE-2004-2111.
CVE-2004-1992Переполнение буфера в Serv-U FTP server до версии 5.0.0.6 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) через длинный параметр -l, который вызывает чтение за пределами границ.
CVE-2004-1675Serv-U FTP server 4.x и 5.x позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения) с помощью команды STORE UNIQUE (STOU) с аргументом имени устройства MS-DOS, таким как (1) COM1, (2) LPT1, (3) PRN или (4) AUX.
CVE-2002-2393Serv-U FTP server 3.0, 3.1 и 4.0.0.4 не принимает новые соединения во время проверки прав доступа к папке пользователя, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (нет новых соединений) через серию команд MKD.
CVE-2001-0054Уязвимость обхода каталогов в FTP Serv-U до версии 2.5i позволяет удаленным злоумышленникам выйти за пределы FTP root и читать произвольные файлы, добавляя строку, такую как "/..%20.", к команде CD, вариант атаки .. (две точки).