Vulnerabilidad en FTP Synchronizer Professional (CVE-2010-20107)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-121
Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
21/08/2025
Última modificación:
22/08/2025
Descripción
Existe un desbordamiento de búfer basado en la pila en FTP Synchronizer Professional (versión anterior a la v4.0.73.274). Cuando el cliente se conecta a un servidor FTP y emite un comando LIST (normalmente durante la vista previa de la sincronización o la creación de un perfil), la respuesta del servidor, que contiene un nombre de archivo demasiado largo, provoca un desbordamiento de búfer. Esto provoca la corrupción del Gestor de Excepciones Estructuradas (GEH), lo que podría permitir la ejecución remota de código.
Impacto
Puntuación base 4.0
8.50
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/ftp/ftpsynch_list_reply.rb
- https://web.archive.org/web/20111016194057/https://www.corelan.be/index.php/2010/10/12/death-of-an-ftp-client/
- https://web.archive.org/web/20111016235434/http://www.ftpsynchronizer.com/
- https://www.exploit-db.com/exploits/16720
- https://www.ftpsynchronizer.com/
- https://www.vulncheck.com/advisories/ftp-synchronizer-professional-stack-buffer-overflow
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/ftp/ftpsynch_list_reply.rb
- https://www.exploit-db.com/exploits/16720