Atenção, desenvolvedores e administradores de sistemas! Uma vulnerabilidade crítica foi descoberta no gerenciador de arquivos de servidores web Monsta FTP, abrindo uma brecha para invasões de hackers em milhares de sites. A empresa de cibersegurança watchTowr identificou uma falha que permitia a qualquer pessoa, mesmo sem autenticação, fazer upload de arquivos maliciosos para os servidores, possibilitando a execução de códigos e o controle total dos sites.
O Monsta FTP é uma ferramenta popular por permitir o gerenciamento de arquivos em servidores web – incluindo upload, download e modificação – diretamente do navegador, eliminando a necessidade de aplicativos desktop. Com uma base de usuários que inclui desde indivíduos até instituições financeiras, a urgência na atualização da ferramenta é máxima para evitar exposições.
Detalhes da Vulnerabilidade no Monsta FTP: CVE-2025-34299
Os pesquisadores da watchTowr, enquanto investigavam vulnerabilidades antigas do Monsta FTP (versões até 2.10.4), notaram que falhas previamente relatadas na versão 2.10.3, como Falsificações de Requests Via Servidor (SSRF) e problemas de upload arbitrário de arquivos (CVE-2022-31827, CVE-2022-27469 e CVE-2022-27468), poderiam persistir em versões mais recentes.
FTP é um protocolo de transferência de arquivos usado para gerenciar servidores e sites na internet: vulnerabilidades podem comprometer o serviço (Imagem: MelhoresHospedagem/Divulgação)
Suas suspeitas foram confirmadas, levando à descoberta da vulnerabilidade CVE-2025-34299. Esta é classificada como uma falha séria pré-autenticação. Isso significa que atacantes poderiam injetar arquivos maliciosos nos servidores antes mesmo de realizar o login, sem precisar de credenciais de usuário ou senha para executar códigos remotamente.
Detalhes Técnicos da Invasão
A técnica explorada envolvia o upload de arquivos para qualquer diretório do servidor da vítima, permitindo um 'assalto' completo ao site com pouco esforço. Os especialistas publicaram um relatório detalhado, evidenciando a exploração por meio da técnica de webshell. Estima-se que existam ao menos 5.000 sessões FTP do Monsta acessíveis publicamente na internet, deixando muitos servidores web vulneráveis a essa grave falha.
Proteção Imediata: Atualize Seu Monsta FTP
A boa notícia é que a equipe do Monsta FTP foi alertada sobre a vulnerabilidade em 13 de agosto deste ano, e um patch de correção foi prontamente lançado na versão 2.11.3 em 26 de agosto. Para garantir a segurança de seus sistemas, é crucial que todos os usuários do serviço instalem imediatamente a versão 2.11.3 ou posterior.
A comunidade de desenvolvimento web deve estar sempre atenta a essas ameaças. A Vibe Coding Brasil reforça a importância de manter todas as ferramentas e sistemas atualizados. Ignorar esta recomendação pode deixar seu servidor e site expostos a sérias invasões.