CVE-2026-44240 in basic-ftp
요약
\~에 의해 VulDB • 2026. 05. 12.
basic-ftp는 Node.js용 FTP 클라이언트입니다. 버전 5.3.1 이전의 basic-ftp는 FTP 제어 채널의 다중 줄 응답을 파싱할 때 클라이언트 측 서비스 거부(Denial of Service) 취약점에 노출됩니다. 악의적이거나 침해당한 FTP 서버는 인증 이전의 초기 FTP 배너 단계 동안 종료되지 않은 다중 줄 응답을 전송할 수 있습니다. 클라이언트는 공격자가 제어하는 데이터를 FtpContext._partialResponse에 계속 추가하고, 최대 제어 응답 크기를 강제하지 않은 채 누적된 버퍼를 반복적으로 재파싱합니다. 그 결과, basic-ftp를 사용하는 애플리케이션은 공격자가 제어하는 입력에 따라 메모리 및 CPU 사용량이 증가하는 동안 connect() 호출에서 영구적으로 대기 상태에 빠질 수 있습니다. 이로 인해 프로세스 수준의 서비스 거부, 컨테이너의 OOM(Out of Memory) 키일, 워커 재시작, 큐 백로그, 또는 FTP 엔드포인트에 자동으로 연결하는 애플리케이션에서의 서비스 저하가 발생할 수 있습니다. 이 취약점은 버전 5.3.1에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.