Vulnerabilidade no Monsta FTP expõe milhares de sites a invasão de hackers

O gerenciador de arquivos de servidores web Monsta FTP teve uma vulnerabilidade crítica descoberta pela empresa de cibersegurança watchTowr: ela permitia que qualquer pessoa, mesmo sem autenticação, conseguisse subir os arquivos que desejasse aos servidores, abrindo margem para execução de códigos maliciosos e invasão completa de sites.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é firewall e como ele funciona?

O diferencial do Monsta FTP é que ele permite o gerenciamento, ou seja, upload, download e modificação de arquivos em servidores web diretamente do navegador, sem necessidade de um aplicativo desktop. Usuários privados e instituições financeiras estão entre os principais clientes, e é recomendado a eles que atualizem imediatamente a ferramenta, que já ganhou atualizações corrigindo a brecha de segurança.

Vulnerabilidade no Monsta FTP

Os pesquisadores da watchTowr estavam estudando vulnerabilidades antigas do Monsta FTP, da versão 2.10.4 para trás. Eles passaram a suspeitar que algumas falhas reportadas na versão 2.10.3, que incluíam Falsificações de Requests Via Servidor (SSRF) e problemas de upload arbitrário de arquivos (CVE-2022-31827, CVE-2022-27469 e CVE-2022-27468), ainda pudessem existir na versão mais atual.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

As suspeitas estavam corretas, e a vulnerabilidade, chamada CVE-2025-34299, surgiu, definida como uma falha séria pré-autenticação. Isso significa que hackers podiam subir arquivos nos servidores antes mesmo de fazer login, sem precisar de usuário ou senha para executar códigos remotamente.

Arquivos podiam ser salvos em qualquer lugar do servidor da vítima, efetivamente liberando o site para assalto com pouco esforço. Os especialistas publicaram um relatório mostrando como o método funcionava, notando a técnica webshell que podia ser explorada dessa maneira. Há ao menos 5.000 sessões FTP do Monsta disponíveis na internet, deixando muitos servidores web vulneráveis à falha.

A Monsta FTP foi alertada em 13 de agosto deste ano, e um patch de correção, na versão 2.11.3, foi lançado em 26 de agosto. Para se proteger, no entanto, é necessário atualizar, então recomenda-se a instalação imediata da versão 2.11.3 ou posterior a todos os que utilizam o serviço: caso contrário, seu servidor e site ainda estarão vulneráveis a invasões.

Confira também:

• Grupo hacker chinês retorna com backdoors atualizados mirando América Latina
• PF quer extradição de suspeitos de ciberataque que desviou R$ 813 milhões no Pix
• Usa celular Samsung Galaxy? Você pode estar sendo espionado por este malware

VÍDEO | Como funciona o blockchain em servidores tradicionais

Leia a matéria no Canaltech.