CVE-2025-34299: Monsta FTP vulnerable a ejecución remota

Investigadores de seguridad han identificado una nueva vulnerabilidad crítica en Monsta FTP, un popular cliente FTP basado en la web utilizado por instituciones financieras, empresas y usuarios particulares en distintos países. La vulnerabilidad, catalogada como CVE-2025-34299, afecta a todas las versiones del software hasta la 2.11.2 y está siendo explotada activamente en entornos reales, lo que incrementa el nivel de riesgo para miles de implementaciones.

El problema salió a la luz cuando especialistas de watchTowr Labs examinaban una versión anterior del producto como parte de un análisis rutinario de amenazas. Durante la investigación detectaron que vulnerabilidades previamente reportadas en la versión 2.10.3 no habían sido corregidas de forma efectiva, pese a los esfuerzos de los desarrolladores por incorporar nuevas funciones de validación de entrada en la serie 2.11. Estas mejoras, contenidas en el archivo inputValidator.php, reforzaban ciertos controles, pero no lograban mitigar el fallo central que permite la ejecución remota de código.

La vulnerabilidad reside en la función downloadFile, encargada de gestionar la descarga de archivos desde servidores SFTP externos. Según los investigadores, un atacante puede enviar una única solicitud HTTP especialmente manipulada para forzar al sistema a conectarse con un servidor SFTP bajo su control y escribir un archivo malicioso en cualquier ubicación accesible del servidor objetivo. Una vez depositado el archivo, es posible ejecutar código sin necesidad de autenticación, lo que podría derivar en el compromiso total del sistema afectado.

Ante la gravedad del hallazgo, los desarrolladores de Monsta FTP lanzaron la versión 2.11.3 el pasado 26 de agosto de 2025, parcheando la vulnerabilidad. La asignación oficial del identificador CVE llegó el 4 de noviembre. Los expertos recomiendan a todas las organizaciones actualizar de inmediato y reforzar sus controles internos, recordando que la falta de remediación adecuada en componentes de terceros sigue siendo uno de los vectores de ataque más frecuentes en aplicaciones web.

Más información:

Acerca de Germán Centeno

Germán Centeno Ha escrito 17 publicaciones.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

CVE-2025-34299: Monsta FTP vulnerable a ejecución remota

Acerca de Germán Centeno

Publicaciones relacionadas

UAD

Aviso Legal

Acerca de Germán Centeno

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

UAD

Aviso Legal