关键漏洞信息 漏洞概述 CVE 编号: CVE-2022-41985 漏洞类型: Weston Embedded uC-FTPs 身份验证绕过漏洞 影响版本: Weston Embedded uC-FTPs v 1.98.00 漏洞详情 漏洞描述: 存在于 Weston Embedded uC-FTPs v 1.98.00 的身份验证功能中,攻击者可以通过发送特殊构造的网络数据包绕过身份验证并导致服务拒绝。 CVSS 评分: 8.6 (AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H) 漏洞原因: 错误实现的身份验证算法 (CWE-303) 技术细节 代码问题: 当 FTP 客户端与 uC-FTPs 连接并发送 命令时,内部状态变量 从 变为 。如果其后的命令为需要调用 函数的命令,则会绕过身份验证。 崩溃信息: 发生段错误,因 函数调用中使用的 和 指针未被正确初始化。 缓解措施 修复建议: 修改 文件中的检查以确保 不等于 而不是之前比较的 。 时间线 2022-12-13: 厂商通知 2023-02-24: 厂商发布补丁 2023-05-10: 公开发布