Monsta FTP 远程代码执行漏洞(CVE-2025-34299)预警
1、基本情况
Monsta FTP 是一款基于浏览器的 FTP/SFTP 客户端,使用 PHP 和AJAX 开发,用户可通过浏览器直接访问远程服务器、上传、下载、编辑文件,而无需在本地安装桌面 FTP 软件。
近日,监测发现 Monsta FTP 官方修复了 Monsta FTP 远程代码执行漏洞(CVE-2025-34299),攻击者利用该漏洞可通过诱导受害者的Monsta FTP 实例连接到恶意的 SFTP 服务器,下载攻击者控制的恶意文件,并将其写入目标服务器的任意路径。该漏洞的根本原因在于 Monsta FTP 在处理文件下载操作时,未能正确验证用户提供的文件路径。攻击者能够通过构造特制的 HTTP 请求,指定下载文件的路径并利用该漏洞在服务器上执行恶意代码。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ 2.10.3 <= Monsta FTP <= 2.11.2
3、处置建议
官方已发布安全补丁,请及时升级至安全版本:
⚫ Monsta FTP >= 2.11.3
下载地址:https://www.monstaftp.com/download/
4、参考链接
1) https://nvd.nist.gov/vuln/detail/CVE-2025-34299
2) https://labs.watchtowr.com/whats-that-coming-over-the-hill-monsta-ftp-remote-code-execution-cve-2025-34299/