最近，基於 Web 的檔案管理的 Monsta FTP 應用程式被發現有嚴重的安全性問題，該問題可能允許駭客完全控制Web 伺服器，該問題現已正式編號為 CVE-2025-34299，是一個嚴重的預驗證漏洞。

預驗證漏洞（Pre-authentication Vulnerability）的性質極為危險。這意味著攻擊者甚至無需登錄，也無需使用者名稱或密碼，即可利用漏洞執行遠端程式碼 ( RCE )。一旦攻擊者成功執行 RCE，他們便能取得伺服器的高度控制權限，進而竊取資料、部署惡意軟體或將伺服器納入僵屍網路。

這項研究始於 watchTowr 對 Monsta FTP 中較早的已知漏洞進行調查之時，特別是針對 2.10.4 等版本。團隊懷疑，在更早的版本（2.10.3）中報告的缺陷，包括伺服器端請求偽造 (SSRF) 和任意檔案上傳問題可能仍然存在，相關漏洞編號分為別 CVE-2022-31827、CVE-2022-27469 和 CVE-2022-27468。在追蹤舊有漏洞的過程中，watchTowr 發現了這個更為關鍵且嚴重的預驗證 RCE 漏洞。

Monsta FTP 作為一種常見的 Web 檔案管理工具，被廣泛部署於各類 Web 伺服器環境中，其安全性直接關係到託管在其上的網站和資料的安全。CVE-2025-34299 漏洞的發現，再次提醒了軟體供應鏈中第三方元件潛在的高風險。

WatchTowr 於 2025 年 8 月 13 日向 Monsta FTP 開發團隊通報了這個嚴重安全漏洞，開發人員迅速做出回應，並於 2025 年 8 月 26 日發布了修復版本 Monsta FTP 2.11.3。

如果您或您的組織使用 Monsta FTP，則必須立即更新至 2.11.3 或更高版本，以確保您的 Web 伺服器安全。由於此漏洞屬於預驗證類型且可導致 RCE，其被利用的風險極高，任何延遲修補都可能導致 Web 伺服器被完全接管。這項緊急更新是保護數位資產和維護服務連續性的關鍵一步。

註：
Monsta FTP 是一款便利的工具，可讓使用者移動和管理網站文件，直接透過網頁瀏覽器進行上傳、下載和修改，從大型金融機構到個人網站所有者，許多用戶都選擇它作為安裝獨立軟體的替代方案。

資料來源：https://hackread.com/monsta-ftp-flaw-web-servers-open-server-takeover/