CVE-2024-7744

In WS_FTP Server versions before 8.8.8 (2022.0.8), an Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in the Web Transfer Module allows File Discovery, Probe System Files, User-Controlled Filename, Path Traversal.   An authenticated file download flaw has been identified where a user can craft an API call that allows them to download a file from an arbitrary folder on the drive where that user host's root folder is located (by default this is C:)
Configurations

Configuration 1 (hide)

cpe:2.3:a:progress:ws_ftp_server:*:*:*:*:*:*:*:*

History

04 Sep 2024, 17:57

Type Values Removed Values Added
First Time Progress
Progress ws Ftp Server
References () https://community.progress.com/s/article/WS-FTP-Server-Service-Pack-August-2024 - () https://community.progress.com/s/article/WS-FTP-Server-Service-Pack-August-2024 - Vendor Advisory
References () https://www.progress.com/ftp-server - () https://www.progress.com/ftp-server - Product
CPE cpe:2.3:a:progress:ws_ftp_server:*:*:*:*:*:*:*:*

29 Aug 2024, 13:25

Type Values Removed Values Added
Summary
  • (es) En las versiones de WS_FTP Server anteriores a la 8.8.8 (2022.0.8), una vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido ("Path Traversal") en el módulo de transferencia web permite el descubrimiento de archivos, el sondeo de archivos del sistema, el nombre de archivo controlado por el usuario y Path Traversal. Se ha identificado una falla de descarga de archivos autenticados en la que un usuario puede crear una llamada API que le permite descargar un archivo desde una carpeta arbitraria en la unidad donde se encuentra la carpeta raíz del host de ese usuario (de manera predeterminada, es C:)

28 Aug 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-28 17:15

Updated : 2024-09-04 17:57


NVD link : CVE-2024-7744

Mitre link : CVE-2024-7744

CVE.ORG link : CVE-2024-7744


JSON object : View

Products Affected

progress

  • ws_ftp_server
CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

CWE-73

External Control of File Name or Path