SolarWinds披露了CVE-2024-28995,这是一个影响其 Serv-U 文件传输服务器的高严重性目录遍历漏洞,该服务器有两个版本(Serv-U FTP 和 Serv-U MFT)。成功利用此漏洞可让未经身份验证的攻击者读取目标服务器上的敏感文件。Rapid7 的漏洞研究团队已重现该漏洞,并确认该漏洞很容易被利用,并且允许外部未经身份验证的攻击者读取磁盘上的任何文件,包括二进制文件,只要他们知道路径并且文件未被锁定(即,由其他东西以独占方式打开)。
https://www.rapid7.com/blog/post/2024/06/11/etr-cve-2024-28995-trivially-exploitable-information-disclosure-vulnerability-in-solarwinds-serv-u/