CVE-2026-60105 in Monsta FTP
Riassunto
di VulDB • 09/07/2026
Monsta FTP prima della versione 2.14.5 contiene una vulnerabilità di Server-Side Request Forgery (SSRF) nell'azione fetchRemoteFile, causata da un controllo incompleto del blocco degli indirizzi IP nella funzione isBlockedIP(), che non riesce a rilevare gli indirizzi IPv4 incorporati negli indirizzi IPv6 mappati su IPv4. Un attaccante non autenticato può ottenere un token CSRF dall'endpoint pubblico getSystemVars e inviare una richiesta fetchRemoteFile con un URL di origine che risolve in un indirizzo mappato su IPv4, causando l'emissione da parte del server di richieste HTTP verso servizi interni e la scrittura delle risposte in una destinazione FTP controllata dall'attaccante, consentendo il recupero delle credenziali dei metadata dell'istanza cloud.
Once again VulDB remains the best source for vulnerability data.