Progress에서는 9월 27일에 WS_FTP 서버 임시 전송 모듈과 WS_FTP 서버 관리자 인터페이스에서 발견한 여러 취약점에 대해 발표했습니다. 서버 보안 취약점 중 2개는 심각한 것으로 평가되었으며, 하나는 CVE-2023-40044이고 또 다른 하나는 CVE-2023-42657 입니다.

CVE-2023-40044 취약점은 사전 인증된 공격자가 Ad Hoc 전송 모듈의 .NET 역직렬화 취약점을 활용하여 해당 서버에서 원격 명령을 실행할 수 있습니다. CVE-2023-42657 취약점은 WS_FTP 폴더 경로 외부의 파일 및 폴더에 대해 파일 작업(삭제, 이름바꾸기, rmdir, mkdir)을 수행할 수 있습니다. 8.7.2 및 8.8.2 이전 버전, 즉 모든 버전의 WS_FTP 서버에서 해당 취약점에 영향을 받는 것으로 확인되었습니다.

이에 Progress에서는 가장 높은 버전인 8.8.2로 업그레이드하는 것이 유일한 방법이라고 제시했습니다. 또한, 업그레이드 시 전체 설치 프로그램을 사용하여 패치 릴리스로 업그레이드할 것을 권장한다고 발표했습니다.

요약
- 9월 27일, Progress에서 WS_FTP 서버 관련 여러 취약점을 발표했습니다. 
- CVE-2023-40044 취약점과 CVE-2023-42657 취약점이 가장 심각한 것으로 확인되었으며, 8.7.2 및 8.8.2 이전 버전의 WS_FTP 서버에 영향을 미칩니다.
- 전체 설치 프로그램을 통해 가장 높은 버전인 8.8.2로 업그레이드할 것을 권장합니다.

Reference
https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023