Le 27 septembre 2023, Progress a publié un bulletin d’alerte concernant 8 vulnérabilités dans leur solution WS_FTP Server. La plus critique, découverte par les équipes d’Assetnote, permet à un attaquant non authentifié d’exécuter du code arbitraire sur le
serveur.
Cette vulnérabilité est due à un défaut de déserialisation de données .NET dans le module Ad Hoc Transfer. En envoyant une requête spécifiquement forgée, un attaquant non authentifié peut exécuter du code sur le serveur WS_FTP avec les privilèges NT AUTHORITY\NETWORK SERVICE.