Vulnerabilidad en SFTPGo (CVE-2024-37897)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
20/06/2024
Última modificación:
15/04/2026
Descripción
SFTPGo es un servidor SFTP, HTTP/S, FTP/S y WebDAV con todas las funciones y altamente configurable: S3, Google Cloud Storage, Azure Blob. SFTPGo WebAdmin y WebClient admiten el restablecimiento de contraseña. Esta característica está deshabilitada en la configuración predeterminada. En las versiones de SFTPGo anteriores a la v2.6.1, si la función está habilitada, incluso los usuarios con restricciones de acceso (por ejemplo, vencidas) pueden restablecer su contraseña e iniciar sesión. Se recomienda a los usuarios que actualicen a la versión 2.6.1. Los usuarios que no puedan actualizar pueden mantener la función de restablecimiento de contraseña desactivada o establecer una dirección de correo electrónico en blanco para los usuarios y administradores con restricciones de acceso para que no puedan recibir el correo electrónico con el código de restablecimiento y explotar la vulnerabilidad.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/drakkan/sftpgo/commit/1f8ac8bfe16100b0484d6c91e1e8361687324423
- https://github.com/drakkan/sftpgo/security/advisories/GHSA-hw5f-6wvv-xcrh
- https://github.com/drakkan/sftpgo/commit/1f8ac8bfe16100b0484d6c91e1e8361687324423
- https://github.com/drakkan/sftpgo/security/advisories/GHSA-hw5f-6wvv-xcrh