Uma vulnerabilidade crítica no gerenciador de arquivos para servidores web Monsta FTP foi descoberta pela empresa de cibersegurança watchTowr, permitindo que invasores não autenticados carreguem arquivos maliciosos nos servidores, abrindo caminho para a execução remota de código e comprometimento total de sites. A falha, identificada como CVE-2025-34299, é classificada como uma vulnerabilidade pré-autenticação, o que significa que hackers podem inserir arquivos em servidores vulneráveis sem a necessidade de credenciais de login.
O Monsta FTP, conhecido por permitir o gerenciamento de arquivos diretamente no navegador, sem a necessidade de um aplicativo desktop, é utilizado por uma ampla gama de usuários, incluindo indivíduos e instituições financeiras. A vulnerabilidade reside em versões anteriores à 2.11.3, e a exploração bem-sucedida permite que arquivos sejam armazenados em qualquer local do servidor da vítima, facilitando ataques subsequentes.
Investigações da watchTowr revelaram que a falha pode estar relacionada a vulnerabilidades antigas presentes na versão 2.10.3, incluindo Falsificações de Requests Via Servidor (SSRF) e problemas de upload arbitrário de arquivos (CVE-2022-31827, CVE-2022-27469 e CVE-2022-27468). A técnica webshell pode ser explorada através dessa vulnerabilidade.
Estima-se que existam pelo menos 5.000 sessões FTP do Monsta expostas na internet, tornando um número significativo de servidores web vulneráveis. A Monsta FTP foi notificada sobre a vulnerabilidade em 13 de agosto e lançou um patch de correção na versão 2.11.3 em 26 de agosto. Recomenda-se que todos os usuários do Monsta FTP atualizem imediatamente para a versão 2.11.3 ou posterior para mitigar o risco de invasão.