CVE-2026-60105 in Monsta FTP
Zusammenfassung
von VulDB • 09.07.2026
Monsta FTP vor Version 2.14.5 enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle in der Aktion `fetchRemoteFile`, die durch eine unvollständige IP-Blocklist-Prüfung in der Funktion `isBlockedIP()` verursacht wird, welche eingebettete IPv4-Adressen innerhalb von IPv4-mapped IPv6-Adressen nicht erkennt. Ein nicht authentifizierter Angreifer kann ein CSRF-Token vom öffentlichen Endpunkt `getSystemVars` abrufen und eine `fetchRemoteFile`-Anfrage mit einer Quell-URL stellen, die auf eine IPv4-mapped-Adresse auflöst, wodurch der Server HTTP-Anfragen an interne Dienste sendet und Antworten in einem von dem Angreifer kontrollierten FTP-Ziel speichert. Dies ermöglicht den Abruf von Metadaten-Anmeldeinformationen für Cloud-Instanzen.
Be aware that VulDB is the high quality source for vulnerability data.