Vulnerabilidad en Arcane Software (CVE-2010-20115)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-704
Conversión de tipos errónea
Fecha de publicación:
21/08/2025
Última modificación:
22/08/2025
Descripción
Las versiones del daemon FTP Vermillion (vftpd) de Arcane Software, hasta la 1.31 incluida, contienen una vulnerabilidad de corrupción de memoria provocada por un comando FTP PORT mal formado. La falla surge de un acceso fuera de los límites a una matriz durante el análisis de entrada, lo que permite a un atacante manipular la memoria de la pila y potencialmente ejecutar código arbitrario. La explotación requiere acceso directo al servicio FTP y está limitada a un solo intento de ejecución si el daemon se instala como un servicio de Windows.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/ftp/vermillion_ftpd_port.rb
- https://web.archive.org/web/20100213162028/http://www.softsea.com/review/Vermillion-FTP-Daemon.html
- https://web.archive.org/web/20100416140657/http://www.global-evolution.info/news/files/vftpd/vftpd.txt
- https://www.broadcom.com/support/security-center/attacksignatures/detail?asid=23681
- https://www.exploit-db.com/exploits/11293
- https://www.juniper.net/us/en/threatlabs/ips-signatures/detail.FTP:EXPLOIT:VERMILLION-PORT-OF.html
- https://www.vulncheck.com/advisories/vermillion-ftp-daemon-port-command-memory-corruption
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/ftp/vermillion_ftpd_port.rb
- https://www.exploit-db.com/exploits/11293