CVE-2025-34299：Monsta FTP 高危远程代码执行漏洞详解与防护

原创

qife122

发布于 2026-02-05 19:40:54

800

项目标题与描述

CVE-2025-34299是一个存在于Monsta FTP中的高危、无需身份验证的远程代码执行漏洞。Monsta FTP是一个流行的基于Web的文件传输工具。该漏洞于2025年8月被发现，并于2025年11月7日披露。攻击者可通过构造恶意(S)FTP服务器，诱使Monsta FTP下载并写入Webshell，从而完全接管服务器。目前已有超过5000个暴露实例在线，且该漏洞在野外被积极利用。受影响版本为2.11.2及以下，应立即升级至2025年8月26日发布的2.11.3版本进行修复。

漏洞详情

字段	详情
CVE ID	`CVE-2025-34299`
发布日期	2025年11月7日
CNA	VulnCheck
缺陷类型	CWE-434 (危险文件上传)
根本原因	`/mftp/application/api/api.php` 中存在不安全的文件下载逻辑
攻击向量	网络 (远程，无需认证)
复杂度	低

漏洞利用流程：

攻击者向Monsta FTP的API发送特制的POST请求。
Monsta FTP连接至攻击者控制的(S)FTP服务器。
恶意的PHP Webshell被下载并写入服务器。
通过访问写入的Webshell（例如 ?cmd=whoami）实现远程代码执行。

已公开的PoC代码（由watchTowr Labs发布）证实了漏洞的可利用性。

严重性与评分

指标	分数	等级
CVSS v4.0	9.3	严重 (🔥🔥🔥)
EPSS	~0.85 (第80百分位)	高概率利用 (⚡)
野外利用	是	确认活跃 (🏴‍☠️)

受影响系统

产品: Monsta FTP
受影响版本: ≤ 2.11.2
已修复版本: ≥ 2.11.3 (2025年8月26日发布)
平台: 基于PHP的Linux或Windows Web服务器
暴露实例: 超过5000个 (通过ZoomEye, Shodan扫描发现)

时间线

日期	事件
2025年7月	发布包含漏洞的v2.11版本
2025年8月	watchTowr Labs发现漏洞
2025年8月26日	发布补丁版本 v2.11.3 (🛡️)
2025年11月4日	CVE编号分配
2025年11月7日	公开披露 (📢)
2025年11月10–13日	野外活跃利用 (🔥)

野外利用情况

✅ 自8月起已确认攻击活动
🔍 攻击者使用ZoomEye、Shodan、Nuclei等工具进行扫描
🎯 目标行业：金融、托管服务、企业
🛡️ 攻击痕迹（IoCs）：
- 对 /mftp/application/api/api.php 的POST请求
- 向未知IP发起的出站(S)FTP连接
- 包含 system()、eval() 函数的新增 .php 文件

影响范围

风险	等级	详情
服务器完全接管	🌋 高	获得root/管理员权限
数据泄露	🔒 高	窃取服务器文件
勒索软件部署	💰 高	上传并执行恶意载荷
横向移动	🌐 中	作为跳板攻击内网其他主机

缓解与修复措施

措施	操作
🔧 立即修复	升级至 v2.11.3 或更高版本 → monstaftp.com/download
🚫 无临时方案	若无法升级，应立即禁用受影响的Monsta FTP实例
🌐 网络控制	限制出站(S)FTP连接，仅允许访问可信IP
🛡️ 配置WAF规则	拦截发往 `/mftp/application/api/api.php` 的可疑POST请求
🔍 主动扫描	在Shodan或ZoomEye中使用查询：`app="Monsta FTP"`
🛑 应急响应	隔离受影响主机 → 扫描Webshell → 重建系统

检测查询示例 (ZoomEye):

app="Monsta FTP" vul.cve="CVE-2025-34299"

核心代码分析

根据漏洞分析，问题的根源在于 /mftp/application/api/api.php 中的文件下载函数未对下载来源和文件内容进行充分的安全验证。攻击者可以利用此缺陷，通过精心构造的恶意FTP服务器，诱导Monsta FTP下载并保存一个可执行的PHP Webshell到服务器上。此过程无需任何用户身份验证，使得攻击门槛极低。