Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Xftp FTP Client (CVE-2010-20122)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-121 Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
21/08/2025
Última modificación:
22/08/2025

Descripción

Las versiones de Xftp FTP Client hasta la 3.0 (compilación 0238) contienen una vulnerabilidad de desbordamiento de búfer en la pila, desencadenada por una respuesta PWD maliciosa desde un servidor FTP. Cuando el cliente se conecta a un servidor y recibe una cadena de directorio excesivamente larga en respuesta al comando PWD, no valida correctamente la longitud de la entrada antes de copiarla en un búfer de tamaño fijo. Esto provoca corrupción de memoria y permite a atacantes remotos ejecutar código arbitrario en el sistema cliente.