CVE-2025-24366

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-24366
SFTPGo is an open source, event-driven file transfer solution. SFTPGo supports execution of a defined set of commands via SSH. Besides a set of default commands some optional commands can be activated, one of them being `rsync`. It is disabled in the default configuration and it is limited to the local filesystem, it does not work with cloud/remote storage backends. Due to missing sanitization of the client provided `rsync` command, an authenticated remote user can use some options of the rsync command to read or write files with the permissions of the SFTPGo server process. This issue was fixed in version v2.6.5 by checking the client provided arguments. Users are advised to upgrade. There are no known workarounds for this vulnerability.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/drakkan/sftpgo/commit/b347ab6051f6c501da205c09315fe99cd1fa3ba1
https://github.com/drakkan/sftpgo/security/advisories/GHSA-vj7w-3m8c-6vpx
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) SFTPGo es una solución de transferencia de archivos basada en eventos y de código abierto. SFTPGo admite la ejecución de un conjunto definido de comandos a través de SSH. Además de un conjunto de comandos predeterminados, se pueden activar algunos comandos opcionales, uno de ellos es `rsync`. Está deshabilitado en la configuración predeterminada y está limitado al sistema de archivos local; no funciona con backends de almacenamiento remoto o en la nube. Debido a la falta de depuración del comando `rsync` proporcionado por el cliente, un usuario remoto autenticado puede usar algunas opciones del comando rsync para leer o escribir archivos con los permisos del proceso del servidor SFTPGo. Este problema se solucionó en la versión v2.6.5 al verificar los argumentos proporcionados por el cliente. Se recomienda a los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.

07 Feb 2025, 22:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-02-07 22:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-24366

Mitre link : CVE-2025-24366

CVE.ORG link : CVE-2025-24366

JSON object : View

Products Affected

No product.

CWE
CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')