ProFTPD - CVE-2026-42167

Il s'agit d'une vulnérabilité d'injection SQL dans le module mod_sql de ProFTPD.

ProFTPD est un serveur FTP open source multiplateforme, disponible sur les systèmes Unix, Linux et Windows. Il est l'un des serveurs FTP les plus déployés dans le monde et est couramment intégré dans les solutions d'hébergement web telles que DirectAdmin, Plesk, ISPConfig, Webmin et cPanel. Son extension mod_sql permet la journalisation des commandes FTP dans une base de données SQL et l'authentification des utilisateurs via une table SQL.

La fonction is_escaped_text() considère comme déjà échappée toute valeur encadrée de guillemets simples, sans vérifier son origine. Un attaquant forge un nom d'utilisateur FTP de la forme '<payload>' qui contourne l'échappement et injecte du SQL arbitraire dans la requête de journalisation. La vulnérabilité est déclenchable sans authentification lorsque la commande USER est journalisée via %U. Avec un backend PostgreSQL en superutilisateur, la primitive COPY TO PROGRAM permet l'exécution de commandes système.

Elle permet à un attaquant distant une exécution de code arbitraire, un contournement de l'authentification FTP ou une élévation de privilèges.