# CVE-2019-25614 - Buffer Overflow no FreeFloat FTP Server (RCE via STOR) > [!medium] CVSS 9.8 - Vulnerabilidade Legada - PoC Público desde 2019 > Stack-based buffer overflow (CWE-121) no handler do comando `STOR` do **FreeFloat FTP Server 1.0**, produto abandonado sem suporte ativo. Exploit público disponível no Exploit-DB desde 2019. CVE formalmente atribuída apenas em março de 2026. Relevância operacional baixa - aplicável principalmente a auditorias de sistemas legados. ## Visão Geral CVE-2019-25614 é uma vulnerabilidade do tipo **stack-based buffer overflow** (CWE-121) no handler do comando `STOR` do FreeFloat FTP Server versão 1.0, software legado sem manutenção ativa desde pelo menos 2011. A falha permite que um atacante envie 247 bytes de padding seguidos de um endereço de retorno controlado e shellcode via o comando `STOR`, sobrescrevendo a pilha e redirecionando a execução para código arbitrário no contexto do servidor. Notavelmente, a exploração exige apenas autenticação anônima, disponível por padrão no servidor FTP - tornando o ataque acessível sem credenciais válidas. A CVE foi formalmente atribuída e públicada no NVD apenas em março de 2026, embora a vulnerabilidade exista desde ao menos 2011 e o exploit público esteja no Exploit-DB (#46763) desde 2019. Múltiplos comandos FTP são vulneráveis no mesmo produto: `STOR`, `DELE`, `MDTM`, `RETR`, `RMD`, entre outros. Nenhum patch foi lançado pelo fabricante e nenhum é esperado dado o abandono do produto. As TTPs relacionadas são [[t1190-exploit-public-facing-application|T1190]] e [[t1059-command-scripting-interpreter|T1059]]. > [!latam] Relevância LATAM > O FreeFloat FTP Server é software de nicho com uso residual em ambientes legados e sistemas industriais desatualizados. A relevância operacional para o Brasil e LATAM é **baixa**, porém ambientes OT/ICS com sistemas antigos podem ainda ter instâncias ativas. Esta CVE é primariamente relevante para equipes de auditoria de sistemas legados e exercícios de pentest em infraestruturas antigas - não representa ameaça ativa em escala para a região. ## Resumo **CVE-2019-25614** é uma vulnerabilidade do tipo **Stack-Based Buffer Overflow (CWE-121)** no **FreeFloat FTP Server versão 1.0**, encontrada no handler do comando `STOR`. A falha permite que atacantes remotos **executem código arbitrário** enviando uma requisição STOR malformada ao servidor FTP. A exploração requer apenas autenticação anônima (disponível por padrão no FTP), tornando o ataque acessível sem credenciais válidas. O ataque consiste em enviar 247 bytes de padding seguidos de um endereço de retorno e shellcode via o comando STOR. > **Contexto:** Esta CVE foi formalmente atribuída e públicada no NVD em **2026-03-22**, porém a vulnerabilidade existe desde pelo menos 2011 e possui exploit público desde 2019 (Exploit-DB #46763). O produto FreeFloat FTP Server 1.0 é software legado sem manutenção ativa. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: não disponível - CISA KEV: não listado - Exploit público: **disponível no Exploit-DB desde 2019** - exploração acessível por qualquer atacante ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código remoto:** sobrescrever o endereço de retorno na pilha e redirecionar a execução para shellcode injetado - **Comprometimento do servidor FTP:** acesso completo ao sistema hospedando o FreeFloat FTP Server - **Escalada de privilégios:** dependendo do contexto de execução, obter permissões elevadas no sistema - **Negação de serviço:** crash do servidor FTP em tentativas de exploração mal-sucedidas **Vetor de ataque detalhado:** 1. Conectar ao servidor FTP via autenticação anônima 2. Enviar comando `STOR` seguido de 247 bytes de padding (`A` × 247) 3. Anexar o endereço de retorno desejado (return address) em little-endian 4. Adicionar shellcode na sequência **Impacto para organizações LATAM/Brasil:** O FreeFloat FTP Server é software de nicho com uso residual em ambientes legados. A relevância operacional para LATAM é **baixa**, porém ambientes industriais e OT com sistemas desatualizados podem ainda ter instâncias ativas. Esta CVE é relevante principalmente para exercícios de pentest e análise de sistemas legados. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Free Float | FTP Server | 1.0 | Não disponível (produto abandonado) | **Comandos FTP vulneráveis:** `STOR`, `DELE`, `MDTM`, `RETR`, `RMD`, `RNFR`, `RNTO`, `STOU`, `SIZE`, `APPE`, `STAT` **CVEs relacionadas na mesma família de produto:** - CVE-2012-10023 - Buffer overflow no handler do comando `USER` (CVSS 6.9) - CVE-2025-5049 - Buffer overflow no handler do comando `APPEND` (CVSS 7.5) ## Patch e Mitigação **Patch oficial:** - **Não disponível.** O FreeFloat FTP Server 1.0 é produto abandonado sem suporte ativo do vendor. **Mitigações:** - **Desativar e substituir** o FreeFloat FTP Server por uma alternativa moderna com suporte ativo (SFTP, FTPS) - Caso não seja possível remover imediatamente: isolar o servidor em rede segregada sem acesso à Internet - Bloquear acesso à porta 21 (FTP) de redes não confiáveis via firewall - Desativar autenticação anônima se o servidor precisar permanecer ativo temporariamente - Monitorar tentativas de conexão FTP anônima em logs de rede ## Exploração Ativa **Status atual:** exploit público disponível desde 2019 - sem evidência de exploração ativa em larga escala em 2026 **Referências de exploit:** - Exploit-DB #46763 - PoC funcional públicado em 2019 para STOR command overflow - SecPod Research - PoC original para múltiplos comandos vulneráveis (2011) **Grupos de ameaça utilizando:** - Nenhum APT identificado - vetor utilizado principalmente em ataques oportunistas e exercícios de pentest ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Dado que o produto é legado e raramente utilizado em produção, adição ao KEV é improvável. ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-4585|CVE-2026-4585]] · [[cve-2026-32968|CVE-2026-32968]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1203-exploitation-client-execution|T1203]] **Técnica MITRE:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] **Setores em risco:** [[technology]] · [[infraestrutura-crítica]] **Contexto:** Vulnerabilidade legada recém-formalizada no NVD em 2026-03-22 - baixa prioridade operacional exceto em auditorias de sistemas legados ## Referências - [NVD - CVE-2019-25614](https://nvd.nist.gov/vuln/detail/CVE-2019-25614)