Le critère d’évaluation de l’API zip dans Cerberus FTP Server 8 permet à un attaquant authentifié sans autorisation zip utiliser la fonctionnalité zip via un point de terminaison API sans restriction. Une mauvaise vérification d’autorisation se produit lorsque vous appelez le point final fichier / ajax_download_zip / zip_name. Le résultat est qu’un utilisateur sans autorisations peut zip et télécharger des fichiers même si elles ne sont pas autorisés à voir si le fichier existe.
https://support.cerberusftp.com/hc/en-us/community/topics/360000164199-Announcements
https://www.doyler.net/security-not-included/cerberus-ftp-vulnerabilities
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5194
