CVE-2026-42167｜ProFTPD允许绕过身份验证的远程代码执行漏洞（POC）

0x00 前言

ProFTPD（Professional FTP Daemon）是一款专为Unix/Linux系统打造的开源、跨平台FTP服务器软件，凭借其模块化架构、高度可配置性和企业级稳定性，成为Linux环境下功能最全面、灵活的FTP解决方案之一。

它的设计借鉴了Apache Web服务器的理念，采用直观的类Apache指令式配置（如proftpd.conf），不仅支持虚拟主机、IPv6、断点续传，还能通过丰富的模块库（如mod_ssl、mod_sql、mod_ldap等）轻松扩展出SSL/TLS加密传输、数据库驱动认证及细粒度访问控制等高级功能。

无论是个人轻量级文件共享，还是企业高并发、多用户的复杂传输场景，ProFTPD都能以出色的性能表现和严密的安全机制（如chroot目录监禁、带宽与连接数限制）提供稳定可靠的服务支撑。

0x01 漏洞描述

漏洞根源在于is_escaped_text() 函数的逻辑缺陷——该函数的设计意图是识别“已经转义过的安全文本”以避免重复处理，但其判断规则过于简单：只要字符串以单引号开头和结尾、且中间不含引号，就认定是安全的。

攻击者可利用这一缺陷，构造形如 '恶意SQL代码' 的用户名，使系统误判为已转义文本而跳过正常的输入清洗，随后该用户名通过%U等占位符被原样插入到SQLNamedQuery定义的日志写入语句中，最终在数据库层面执行任意SQL命令。

该漏洞的攻击面取决于具体配置，需要mod_sql模块启用且SQLLog/SQLNamedQuery的格式字符串中引用了攻击者可控的变量。在仅开启SQL日志的场景下，攻击者可篡改日志记录或探测数据库结构；若同时启用了数据库认证，则可实现身份验证绕过、注入后门用户乃至权限提升；当数据库用户权限过高且数据库支持系统命令执行时（如PostgreSQL的COPY TO PROGRAM），还可进一步实现远程代码执行。

由于官方文档中推荐的日志配置模式恰好容易引入这一危险写法，大量实际部署的mod_sql实例因此受到影响，尤其在共享主机、Web托管等使用数据库集中管理FTP用户的场景中风险尤为突出。

0x02 CVE编号

CVE-2026-42167

0x03 影响版本

ProFTPD < 1.3.9a（所有启用mod_sql日志功能的版本）

0x04 漏洞详情

POC：

https://github.com/ZeroPathAI/proftpd-CVE-2026-42167-poc

0x05 参考链接

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.10rc1

https://github.com/proftpd/proftpd/issues/2052

推荐阅读：

CVE-2026-41940｜cPanel/WHM登录流程认证绕过漏洞（POC）

CVE-2026-40175｜Axios存在CRLF注入漏洞（POC）

CVE-2026-33439｜OpenAM反序列化远程代码执行（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持

！！！