CVE-2020-15152 是一个远程代码执行 (RCE) 漏洞,影响到 nodejs ftp-srv 组件。该漏洞源于 FTP 服务器处理 PORT 命令时,允许客户端指定服务器连接的目标 IP 地址,攻击者可以利用此漏洞使服务器连接到恶意主机。受影响的版本包括低于 2.19.6 的版本,建议立即升级以消除风险。
攻击者可以利用此漏洞通过 FTP 服务器执行任意代码。攻击者可以通过发送精心构造的 PORT 命令,指示服务器连接到攻击者控制的恶意主机。一旦连接建立,攻击者就可以在服务器上执行任意命令,从而完全控制受影响的系统。这可能导致数据泄露、系统破坏、甚至进一步的网络攻击。由于 FTP 协议的广泛使用,此漏洞可能影响大量系统,并可能导致广泛的破坏。
该漏洞已公开披露,并且存在公开的利用代码。目前尚无关于该漏洞被广泛利用的报告,但由于其严重性和易于利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。
Applications built on Node.js that utilize the ftp-srv module for FTP functionality are at risk. This includes custom-built applications, as well as those relying on older or unmaintained Node.js packages. Shared hosting environments where users have the ability to install or modify Node.js modules are particularly vulnerable.
• nodejs / server:
ps aux | grep ftp-srv
netstat -tulnp | grep :21 # Check for FTP connections• linux / server:
journalctl -u nodejs -f | grep PORT
auditctl -l # Check for audit rules related to FTP connections• generic web:
curl -I http://your-ftp-server/ | grep Server # Check for ftp-srv versiondisclosure
patch
漏洞利用状态
EPSS
0.22% (44% 百分位)
CVSS 向量
最有效的缓解措施是立即将 nodejs ftp-srv 升级至 2.19.6 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 FTP 服务器的入站连接,仅允许来自受信任来源的连接;配置防火墙以阻止 FTP 服务器连接到非预期主机;监控 FTP 服务器的日志,查找可疑活动。升级后,请验证新版本是否已正确安装,并通过测试 FTP 连接来确认漏洞已修复。
将 ftp-srv 包更新到版本 2.19.6、3.1.2 或 4.3.4 或更高版本。这修复了 PORT 命令中的服务器端请求伪造 (SSRF) 漏洞。或者,您可以通过 FTP 服务器配置阻止 PORT 命令。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-15152 是一个远程代码执行漏洞,影响到 nodejs ftp-srv 组件,攻击者可以通过 PORT 命令控制服务器连接的目标主机。
如果您正在使用 nodejs ftp-srv 的版本低于 2.19.6,则您可能受到此漏洞的影响。
立即将 nodejs ftp-srv 升级至 2.19.6 或更高版本。
虽然目前尚未确认有广泛利用,但由于漏洞的严重性和易于利用性,建议尽快采取缓解措施。
请访问 nodejs 官方安全公告页面查找相关信息:https://nodejs.org/en/blog/vulnerability/