Se ha identificado una vulnerabilidad crítica (CVE-2019-12815) en ProFTPd (un popular servidor ftp). La operación le permite copiar archivos dentro del servidor sin autenticación usando los comandos “site cpfr” y “site cpto”, incluso en servidores con acceso anónimo.
La vulnerabilidad se debe a una verificación incorrecta de las restricciones de acceso para lectura y escritura de datos (Limit READ y Limit WRITE) en el módulo mod_copy, que se usa de forma predeterminada y está habilitado en los paquetes proftpd para la mayoría de las distribuciones.
Todas las versiones actuales de todas las distribuciones excepto Fedora se ven afectadas. La solución está actualmente disponible como parche. Como solución temporal, se recomienda desactivar mod_copy.
Fuente: linux.org.ru