nvd
Cerberusftp
Уязвимости
10
Эксплуатируемые
0
Критический
0
Высокий
3
Топ продуктов
Топ уязвимостей
CVE-2020-5196Cerberus FTP Server Enterprise Edition до версий 11.0.3 и 10.0.18 позволяет аутентифицированному злоумышленнику создавать файлы, отображать скрытые файлы, перечислять каталоги и перечислять файлы без разрешения на архивирование и загрузку (или разархивирование и выгрузку) файлов. Существует несколько способов обойти определенные разрешения с помощью функций архивирования и разархивирования. В результате пользователи без разрешения могут видеть файлы, папки и скрытые файлы, а также создавать каталоги без разрешения.
CVE-2017-6367В Cerberus FTP Server 8.0.10.1 специально созданный HTTP-запрос приводит к сбою службы Windows. Методология атаки включает длинный заголовок Host и недопустимый заголовок Content-Length.
CVE-2026-6265Небезопасная сохраненная наследуемая уязвимость разрешений в Cerberus FTP Server в Windows позволяет Privilege Escalation.Эта проблема решена в Cerberus FTP Server: 2026.1
CVE-2012-2999Множественные уязвимости подделки межсайтовых запросов (CSRF) в веб-интерфейсе Cerberus FTP Server до версии 5.0.5.0 позволяют удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые (1) добавляют учетную запись пользователя или (2) перенастраивают состояние службы FTP, как продемонстрировано запросом к usermanager/users/modify.
CVE-2020-5195Отраженная XSS через элемент IMG в Cerberus FTP Server до версий 11.0.1 и 10.0.17 позволяет удаленному злоумышленнику выполнять произвольный JavaScript или HTML через созданный URL общедоступной папки. Это происходит из-за того, что элемент IMG folder_up.png неправильно очищает пути каталогов, вставленные пользователем. Изменение пути должно быть выполнено в общедоступной общей папке, чтобы удаленный злоумышленник мог вставить произвольный JavaScript или HTML. Уязвимость влияет на любого, кто щелкает вредоносную ссылку, созданную злоумышленником.
CVE-2019-25046Веб-клиент в Cerberus FTP Server Enterprise до версии 10.0.19 и 11.x до версии 11.0.4 допускает XSS через SVG-документ.
CVE-2020-5194Конечная точка zip API в Cerberus FTP Server 8 позволяет аутентифицированному злоумышленнику без разрешения на zip использовать функциональность zip через неограниченную конечную точку API. Неправильная проверка разрешений происходит при вызове конечной точки file/ajax_download_zip/zip_name. В результате пользователь без разрешений может архивировать и загружать файлы, даже если у него нет разрешения на просмотр наличия файла.
CVE-2012-5301Конфигурация Cerberus FTP Server до версии 5.0.4.0 по умолчанию поддерживает шифр DES для SSH-сессий, что упрощает удаленным злоумышленникам получение конфиденциальной информации путем перехвата сетевого трафика и проведения атаки методом перебора на зашифрованные данные.
CVE-2012-6339Множественные уязвимости межсайтового скриптинга (XSS) в административном веб-интерфейсе Cerberus FTP Server до версии 5.0.6.0 позволяют (1) удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через запись журнала, которая неправильно обрабатывается в компоненте Log Manager, и могут позволять (2) удаленным аутентифицированным администраторам внедрять произвольный веб-скрипт или HTML через поле Messages в программе servermanager.
CVE-2004-2769Cerberus FTP Server до 4.0.3.0 позволяет удаленным аутентифицированным пользователям просматривать скрытые файлы, даже когда включена опция "Отображать скрытые файлы", через команды (1) MLSD или (2) MLST.