发布日期：2025-02-07
更新日期：2025-06-12

受影响系统：

Nicola Murino SFTPGo

描述：

---

CVE(CAN) ID: CVE-2025-24366

SFTPGo是意大利Nicola Murino个人开发者的一个功能齐全且高度可配置的 SFTP 服务器。
SFTPGo存在权限提升漏洞，由于缺少对客户端提供的rsync命令的清理，经过身份验证的远程攻击者可利用该漏洞通过rsync命令的某些选项，以SFTPGo服务器进程的权限读取或写入文件。

<**>

建议：

---

厂商补丁：

Nicola Murino
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/drakkan/sftpgo/security/advisories/GHSA-vj7w-3m8c-6vpx

浏览次数：50
严重程度：0（网友投票）