CVE-2025-34299: Monsta FTP vulnerable a ejecución remota de código

El CNI eleva la ciberseguridad a prioridad nacional y reclama más inversión, talento y cooperación internacional
4 de noviembre de 2025
OWASP 2025
OWASP Top 10 2025 – Versión revisada publicada con dos nuevas categorías
10 de noviembre de 2025
Ver todo

Investigadores de seguridad han identificado una vulnerabilidad crítica en Monsta FTP, un popular cliente FTP web ampliamente utilizado en entornos corporativos, financieros y educativos. La falla, registrada como CVE-2025-34299, permite la ejecución remota de código sin autenticación y afecta a todas las versiones hasta la 2.11.2 inclusive.

Lo más preocupante es que existen indicios de explotación activa en entornos reales, lo que eleva considerablemente el nivel de riesgo para organizaciones que aún no han actualizado.

El problema fue descubierto por investigadores de watchTowr Labs durante el análisis de una versión anterior del software. Aunque los desarrolladores habían intentado reforzar la validación de entradas en la rama 2.11 —principalmente a través del archivo inputValidator.php—, estas mejoras no abordaron el problema raíz.

En concreto, una vulnerabilidad previamente identificada en la versión 2.10.3 no fue corregida de forma efectiva, permitiendo que el vector de ataque siguiera siendo explotable incluso en versiones más recientes.

La vulnerabilidad se encuentra en la función downloadFile, encargada de gestionar la descarga de archivos desde servidores SFTP externos.

Un atacante puede enviar una única solicitud HTTP especialmente manipulada que fuerza al servidor vulnerable a:

  1. Conectarse a un servidor SFTP controlado por el atacante.
  2. Descargar un archivo malicioso.
  3. Guardarlo en una ubicación arbitraria del sistema (siempre que tenga permisos de escritura).
  4. Ejecutarlo posteriormente, logrando así ejecución remota de código.

Todo esto sin necesidad de autenticación previa, lo que convierte a esta vulnerabilidad en especialmente peligrosa y fácilmente automatizable.

El impacto potencial incluye:

  • Compromiso total del servidor.
  • Instalación de puertas traseras.
  • Robo o destrucción de información.
  • Uso del servidor como punto de pivote para ataques internos.

Los desarrolladores de Monsta FTP publicaron la versión 2.11.3 el 26 de agosto de 2025, que corrige el fallo. El identificador CVE fue asignado oficialmente el 4 de noviembre de 2025.

Recomendaciones:

  • Actualizar inmediatamente a la versión 2.11.3 o superior.
  • Revisar los logs de acceso y de la aplicación en busca de actividad sospechosa.
  • Limitar la capacidad del servidor para escribir en rutas sensibles del sistema.
  • Implementar controles de salida (egress filtering) que restrinjan conexiones SFTP salientes no autorizadas.
  • Auditar regularmente componentes de terceros integrados en aplicaciones críticas.

Este incidente vuelve a poner de relieve que las dependencias de terceros siguen siendo uno de los principales vectores de ataque en aplicaciones modernas, y que confiar únicamente en parches parciales o validaciones superficiales no es suficiente.

Artículos relacionados

30 de diciembre de 2025

Nuevas vulnerabilidades en auriculares Bluetooth permiten a atacantes secuestrar el smartphone conectado

Leer más
29 de diciembre de 2025

Vulnerabilidad crítica en MongoDB (CVE-2025-14847) está siendo explotada activamente a nivel mundial

Leer más
21 de diciembre de 2025

Alerta crítica: explotación activa de una vulnerabilidad RCE en firewalls WatchGuard Firebox

Leer más
26 de noviembre de 2025

Ataque “Sha1-Hulud” compromete más de 25.000 paquetes npm y pone en riesgo la cadena de suministro de software

Leer más
21 de noviembre de 2025

Fortinet corrige una vulnerabilidad crítica explotada activamente en FortiWeb

Leer más
19 de noviembre de 2025

CVE-2025-13223: Google corrige un zero-day crítico en Chrome explotado activamente

Leer más