SolarWinds修補Serv-U FTP檔案傳輸軟體重大漏洞,可能導致任意程式碼執行
漏洞概述
企業IT管理與監控軟體廠商SolarWinds於2月24日發布旗下檔案傳輸產品Serv-U的安全更新,修補4項可能導致遠端程式碼執行的重大漏洞。
漏洞細節
- CVE-2025-40541:為不安全物件直接參照(IDOR)漏洞,同樣可能導致攻擊者以root身分執行任意程式碼。
- 此為類型混淆漏洞,允許攻擊者能以特權帳號身分執行任意本機程式碼。
- 其中一個漏洞為邏輯錯誤漏洞,可能允許具有管理員權限的攻擊者執行程式碼。
- 所有漏洞的CVSS評分皆達到9.1,屬於嚴重級別,可能導致遠端任意程式碼執行。
影響範圍
這些漏洞影響Serv-U 15.5版本,官方已在15.5版本中發布修補。