NVD-CVE-2025-24366

Summary of CVE-2025-24366: Vulnerability in SFTPGo

CVE-2025-24366 is a newly identified security vulnerability in SFTPGo, an open-source, event-driven file transfer solution. This vulnerability was reported to the National Vulnerability Database (NVD) on February 7, 2025, but has not yet undergone detailed analysis. SFTPGo allows users to execute a defined set of commands over SSH, including optional commands such as rsync. In its default configuration, rsync is disabled and limited to the local filesystem, making it ineffective with cloud or remote storage backends.

The issue arises from inadequate sanitization of the client-provided rsync command. Consequently, an authenticated remote user can manipulate certain options within the rsync command to read or write files using the permissions of the SFTPGo server process. The vulnerability was addressed in version 2.6.5 of SFTPGo by implementing checks for the arguments supplied by the client. Users are urged to update to this version to mitigate the risk, as no known workarounds are available.

CVSS Metrics

The Common Vulnerability Scoring System (CVSS) metrics for this vulnerability include classifications under different versions:

  • CVSS Version 4.0, Version 3.x, and Version 2.0 are mentioned, but the specific severity scores and vectors are not provided within the summarized data.
  • For CVSS 3.1, the vector is noted as: AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H, highlighting aspects like network attack vector (AV:N), high complexity (AC:H), low privilege required (PR:L), and significant impact on confidentiality (C:H), integrity (I:H), and availability (A:H).

Weakness Enumeration

The vulnerability is categorized under the classification CWE-78, which signifies inadequate neutralization of special elements used in an operating system command, commonly termed ‘command injection’. This classification further emphasizes the nature of the vulnerability, indicating that it could allow attackers to inject commands due to improper handling of input data.

References and Recommendations

Users and administrators of SFTPGo are encouraged to consult the following resources for further details on the vulnerability:

  • The official GitHub commit log detailing the changes made in response to the identification of this vulnerability: Github Commit.
  • The advisory that outlines the security implications: GitHub Security Advisory.

Conclusion

CVE-2025-24366 represents a significant security concern for users of SFTPGo, particularly those who may rely on the rsync functionality. The vulnerability allows potential exploits that could lead to unauthorized file access or modification. Thus, timely updates to the latest version (v2.6.5 and beyond) are crucial for ensuring the integrity and security of file transfers conducted through SFTPGo. As this vulnerability has been newly introduced, further analyses and discussions in the cybersecurity community will likely follow to better assess its implications and potential mitigation strategies.

For any further inquiries or comments, users can reach out to the NVD team via the provided contact details.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Vulnerabilidades críticas en Cisco Identity Services Engine

Cisco has issued a warning regarding two critical vulnerabilities affecting its Identity Services Engine (ISE), which is crucial for identity management. The vulnerabilities identified as

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos Cisco

Se han identificado varias vulnerabilidades en productos de Cisco, una empresa conocida en el ámbito de la tecnología y redes. Estas fallas de seguridad varían

...
Más detalle de la noticia

Aviso de seguridad F5 (AV25-060) – Centro canadiense de seguridad cibernética

El 5 de febrero de 2025, F5, una empresa reconocida en soluciones de entrega de aplicaciones y seguridad, lanzó actualizaciones de seguridad críticas para varios

...
Más detalle de la noticia

Visor de Microdicom DiCom | CISA

Resumen Ejecutivo de la Vulnerabilidad en el Visor de DICOM de Microdicom 1. Información General La vulnerabilidad identificada en el Visor DICOM de Microdicom, con

...
Más detalle de la noticia

Fundamentos de seguridad de red

Diseñar, usar y mantener redes seguras es un proceso integral que implica comprender los elementos fundamentales de la ciberseguridad y aplicar prácticas efectivas para proteger

...
Más detalle de la noticia

Vulnerabilidades múltiples de productos F5

Se han identificado varias vulnerabilidades críticas en los productos de F5, una empresa conocida por sus soluciones de tecnología de red que ayudan a mejorar

...
Más detalle de la noticia

ALERTA DE SEGURIDAD (A25-02-06): múltiples vulnerabilidades en productos Cisco

Cisco ha emitido una serie de avisos de seguridad para abordar un conjunto de vulnerabilidades presentes en varios de sus dispositivos y softwares. Estos avisos

...
Más detalle de la noticia

CURL – NETRC y fuga de credencial predeterminada

Resumen sobre la Vulnerabilidad CVE-2025-0167 El Proyecto Curl ha emitido un informe de seguridad sobre una vulnerabilidad crítica que ha sido etiquetada como CVE-2025-0167. Esta

...
Más detalle de la noticia

Miles de residentes de McKinney, Texas, afectados por la violación de datos de octubre

En octubre, la ciudad de McKinney, un suburbio de Dallas, sufrió un ataque cibernético que comprometió la información confidencial de miles de sus residentes. El

...
Más detalle de la noticia

Aviso de seguridad de Cisco (AV25-059) – Centro canadiense de seguridad cibernética

El 5 de febrero de 2025, Cisco lanzó avisos de seguridad para abordar diversas vulnerabilidades detectadas en sus productos. Estas actualizaciones se dirigieron a una

...
Más detalle de la noticia

CISA agrega una vulnerabilidad explotada conocida al catálogo

CISA (Cybersecurity and Infrastructure Security Agency) ha recientemente incorporado una nueva vulnerabilidad a su Catálogo de vulnerabilidades explotadas conocidas, que se basa en evidencia de

...
Más detalle de la noticia

Llame: Proyecto Europeo Cyssde

El Proyecto Europeo Cyssde se lanzará el 7 de abril con el objetivo de fortalecer la ciberseguridad en la Unión Europea. Este proyecto está diseñado

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos curl

Resumen sobre Vulnerabilidades en Productos CURL Recientemente, se han identificado múltiples vulnerabilidades en diversos productos de CURL, un conjunto de herramientas ampliamente utilizado para la

...
Más detalle de la noticia

Las elecciones electrónicas son seguras y transparentes

La Agencia Nacional de Sistemas de Información (RIA) de Estonia valora la crítica constructiva y apoya a los científicos que investigan para mejorar las elecciones

...
Más detalle de la noticia

Redes privadas virtuales (ITSAP.80.101) – Centro canadiense de seguridad cibernética

VPN: Consideraciones Clave para la Seguridad en el Trabajo Remoto Una red privada virtual (VPN) es una solución crítica para las organizaciones que buscan acceder

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita