Специалисты по информационной безопасности бьют тревогу из-за недавно раскрытой уязвимости в популярном FTP-сервере ProFTPD. Проблема позволяет злоумышленнику перейти от простой SQL-инъекции (атаки через внедрение вредоносного SQL-кода) к обходу аутентификации, повышению привилегий и, в некоторых конфигурациях, к удаленному выполнению кода. Это делает уязвимость особенно опасной для серверов, доступных из интернета.
Уязвимость CVE-2026-42167
Уязвимость, зарегистрированная в реестре CVE под номером CVE-2026-42167, была обнаружена исследовательской группой ZeroPath Research. По шкале CVSS версии 3 ей присвоен балл 8,1. Это соответствует высокому уровню серьезности. Проблема кроется в расширении mod_sql - модуле, который отвечает за взаимодействие ProFTPD с SQL-базами данных для аутентификации и ведения журнала.
В основе дефекта лежит то, как mod_sql обрабатывает данные, которые выглядят уже экранированными, прежде чем подставить их в SQL-запросы. Согласно публичному анализу, атакующий может контролировать такие значения, как имя пользователя. Они передаются в выражения логирования, например через шаблон %U. Из-за ошибочной логики обработки специально сформированный ввод может быть воспринят как безопасный, хотя на самом деле он содержит вредоносный SQL-код. Это означает, что уникальное имя пользователя или другое поле запроса способно выйти за пределы предполагаемой структуры запроса и внедрить команды базы данных по выбору атакующего.
Последствия эксплуатации сильно зависят от того, как администратор настроил ProFTPD. Если ведение SQL-журнала включено для команд, выполняемых до аутентификации (например, команда USER), и в эти форматы журнала попадают данные, управляемые атакующим, то удаленный злоумышленник может использовать уязвимость еще до входа в систему. В других случаях атакующему может потребоваться действительная учетная запись или анонимный FTP-доступ. Однако даже тогда внедренный SQL-код можно использовать для создания подставных пользователей, изменения привилегий или чтения чувствительных данных из внутренней базы данных.
Наихудший сценарий возникает, когда ProFTPD подключен к PostgreSQL с расширенными правами. В такой конфигурации SQL-инъекция может быть объединена с выполнением команд операционной системы. Это становится возможным благодаря функциям базы данных, которые позволяют запускать системные команды прямо из SQL. Поэтому уязвимость описывают как риск удаленного выполнения кода (RCE), а не просто как раскрытие данных. Даже если прямое выполнение кода невозможно, исследователи отмечают, что тот же дефект все равно позволяет обойти аутентификацию, украсть учетные данные и злоупотребить привилегиями. Таким образом, для затронутых серверов открывается широкий путь к компрометации.
ZeroPath сообщает, что уязвимость затрагивает версии ProFTPD вплоть до 1.3.9. Разработчик устранил проблему в версии 1.3.9a, выпущенной 27 апреля 2026 года. Этому предшествовала скоординированная верификация и присвоение идентификатора CVE в начале месяца. Официальная запись CVE также указывает, что уязвимыми считаются сборки до 1.3.10rc1. Это значит, что защитникам следует полагаться на исправленные пакеты от вендора, а не считать старую ветку безопасной по умолчанию.
Администраторам необходимо немедленно обновить ProFTPD до актуальной версии. Кроме того, стоит проверить, включен ли модуль mod_sql, и проанализировать директивы SQLNamedQuery и SQLLog на предмет использования полей, контролируемых атакующим, в SQL-выражениях. Если установка патча невозможна прямо сейчас, самым безопасным временным шагом будет отключение журналирования на основе mod_sql. Также следует усилить мониторинг попыток аутентификации и активности базы данных на предмет необычного поведения. Серверы ProFTPD, доступные извне, необходимо рассматривать как приоритет высокого риска до тех пор, пока исправление не будет применено.
Эта уязвимость напоминает о том, насколько опасными могут быть ошибки в обработке входных данных в системах, работающих с базами данных. Даже одна некорректная проверка может открыть злоумышленнику путь от простого входа к полному контролю над сервером. Администраторам стоит не только своевременно обновлять ПО, но и пересматривать конфигурации, чтобы минимизировать поверхность атаки. В условиях растущего числа атак на интернет-инфраструктуру такие меры становятся не рекомендацией, а необходимостью.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42167
- http://www.proftpd.org/docs/RELEASE_NOTES-1.3.10rc1
- https://github.com/ZeroPathAI/proftpd-CVE-2026-42167-poc
- https://zeropath.com/blog/proftpd-cve-2026-42167-auth-bypass-privesc-rce
