CVE-2025-34299 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Monsta FTP 存在**未授权任意文件上传**漏洞。 💥 **后果**：攻击者可上传恶意文件（如 Webshell），导致**远程代码执行 (RCE)**，完全接管服务器。

🔍 **CWE**：CWE-434 (Unrestricted Upload of File with Dangerous Type)。 🛑 **缺陷点**：`downloadFile` 功能缺乏身份验证，允许从恶意 (S)FTP 服务器拉取并执行任意文件。

📦 **产品**：Monsta FTP (新西兰 Monsta Limited)。 📉 **版本**：**2.11 及之前版本**均受影响。

👑 **权限**：**未授权 (Unauthenticated)** 攻击者可直接操作。 💾 **数据**：可执行任意代码，获取服务器**最高控制权**，窃取或篡改所有数据。

🚪 **门槛**：**极低**。 🔓 **认证**：**无需登录**，无需任何配置，直接利用 `downloadFile` 接口即可触发。

💣 **Exp**：**有**。 🌍 **在野**：已发现 **>5,000** 个暴露实例，**正在被积极利用**。 🔗 **PoC**：GitHub 上已有多个 Python 脚本 (如 `rxerium`, `Chocapikk`) 可直接复现。

🔎 **自查**：使用 Nuclei 模板 (`CVE-2025-34299.yaml`) 扫描。 🕵️ **特征**：检测 Monsta FTP 的 `downloadFile` 接口是否响应未授权的恶意文件请求。

🛠️ **官方**：Monsta 已发布**修复补丁**。 📢 **披露**：2025年8月发现，11月7日公开，建议立即升级至最新版本。

⚠️ **临时规避**：若无法立即升级，需**严格限制** `downloadFile` 功能的访问权限。 🚫 **建议**：在 WAF 或防火墙层面**阻断**对该接口的未授权访问，或暂时禁用该功能。

🔥 **优先级**：**CRITICAL (紧急)**。 🚀 **建议**：由于存在**在野利用**且**无需认证**，请**立即**升级软件或实施网络层隔离，否则服务器面临极高沦陷风险。