一、 漏洞 CVE-2025-24366 基础信息
漏洞标题
SFTPGo对用户提供的rsync命令清理不足
来源:AIGC 神龙大模型
漏洞描述信息
SFTPGo 是一个开源的事件驱动的文件传输解决方案。SFTPGo 通过 SSH 支持执行一组定义的命令。除了默认的一组命令之外,还可以激活一些可选命令,其中一个命令是 `rsync`。它在默认配置中是禁用的,并且仅限于本地文件系统,不能与云/远程存储后端一起工作。由于对客户端提供的 `rsync` 命令缺少过滤,经过身份验证的远程用户可以使用 rsync 命令的一些选项以 SFTPGo 服务器进程的权限来读取或写入文件。此问题在版本 v2.6.5 中通过检查客户端提供的参数得到了修复。建议用户进行升级。此漏洞尚无已知的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Insufficient sanitization of user provided rsync command in SFTPGo
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SFTPGo is an open source, event-driven file transfer solution. SFTPGo supports execution of a defined set of commands via SSH. Besides a set of default commands some optional commands can be activated, one of them being `rsync`. It is disabled in the default configuration and it is limited to the local filesystem, it does not work with cloud/remote storage backends. Due to missing sanitization of the client provided `rsync` command, an authenticated remote user can use some options of the rsync command to read or write files with the permissions of the SFTPGo server process. This issue was fixed in version v2.6.5 by checking the client provided arguments. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-24366 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-24366 的情报信息