CVE-2026-60105 in Monsta FTPinfo

Zusammenfassung

von VulDB • 09.07.2026

Monsta FTP vor Version 2.14.5 enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle in der Aktion `fetchRemoteFile`, die durch eine unvollständige IP-Blocklist-Prüfung in der Funktion `isBlockedIP()` verursacht wird, welche eingebettete IPv4-Adressen innerhalb von IPv4-mapped IPv6-Adressen nicht erkennt. Ein nicht authentifizierter Angreifer kann ein CSRF-Token vom öffentlichen Endpunkt `getSystemVars` abrufen und eine `fetchRemoteFile`-Anfrage mit einer Quell-URL stellen, die auf eine IPv4-mapped-Adresse auflöst, wodurch der Server HTTP-Anfragen an interne Dienste sendet und Antworten in einem von dem Angreifer kontrollierten FTP-Ziel speichert. Dies ermöglicht den Abruf von Metadaten-Anmeldeinformationen für Cloud-Instanzen.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

08.07.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377104

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!