Réfléchie XSS à travers un élément IMG dans Cerberus FTP Server avant les versions 11.0.1 et 10.0.17 permet à un attaquant distant d’exécuter JavaScript ou HTML via une URL de dossier public Crafted arbitraire. Cela se produit à cause de l’élément IMG folder_up.png pas correctement désinfectante chemins de répertoire inséré par l’utilisateur. La modification du chemin doit être fait sur un dossier public partagé pour un attaquant distant d’insérer arbitraire JavaScript ou HTML. L’impact de la vulnérabilité toute personne qui clique sur le lien malveillant conçu par l’attaquant.
https://support.cerberusftp.com/hc/en-us/community/topics/360000164199-Announcements
https://www.cerberusftp.com/xss-vulnerability-in-public-shares-fixed-in-cerberus-ftp-server-version-11-0-1-and-10-0-17/
https://www.doyler.net/security-not-included/cerberus-ftp-vulnerabilities
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5195