Vulnerabilidad en FTPPad (CVE-2010-20108)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-121
Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
21/08/2025
Última modificación:
22/08/2025
Descripción
FTPPad <= 1.2.0 contiene una vulnerabilidad de desbordamiento de búfer basada en pila en su analizador de listados de directorios FTP. Cuando el cliente se conecta a un servidor FTP y recibe una respuesta manipulada a un comando LIST que contiene un directorio y un nombre de archivo excesivamente largos, la aplicación no valida correctamente la longitud de la entrada. Esto provoca un desbordamiento de búfer que sobrescribe el puntero de instrucción extendida (EIP) guardado, lo que permite a atacantes remotos ejecutar código arbitrario.
Impacto
Puntuación base 4.0
8.40
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/ftp/ftppad_list_reply.rb
- https://web.archive.org/web/20111016194057/https://www.corelan.be/index.php/2010/10/12/death-of-an-ftp-client/
- https://www.chip.de/downloads/FTPPad_12993921.html
- https://www.exploit-db.com/exploits/16726
- https://www.vulncheck.com/advisories/ftppad-stack-buffer-overflow
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/ftp/ftppad_list_reply.rb
- https://www.exploit-db.com/exploits/16726