2026-05-07 05:52:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CVE-2026-42167是ProFTPD的modsql模块中的身份验证绕过漏洞，由isescapedtext函数逻辑缺陷导致攻击者可通过构造特殊用户名注入恶意SQL代码。影响版本为ProFTPD1.3.9a之前启用modsql日志功能的系统，可能造成数据库篡改、权限提升或远程代码执行。官方已发布修复版本1.3.10rc1，建议用户立即升级并检查SQLNamedQuery配置。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,WEB安全,解决方案,安全工具

cover_image

CVE-2026-42167｜ProFTPD允许绕过身份验证的远程代码执行漏洞（POC）

alicy alicy

信安百科

2026年5月6日 09:00 河北

在小说阅读器读本章

去阅读

0x00 前言

ProFTPD（Professional FTP Daemon）是一款专为Unix/Linux系统打造的开源、跨平台FTP服务器软件，凭借其模块化架构、高度可配置性和企业级稳定性，成为Linux环境下功能最全面、灵活的FTP解决方案之一。

它的设计借鉴了Apache Web服务器的理念，采用直观的类Apache指令式配置（如proftpd.conf），不仅支持虚拟主机、IPv6、断点续传，还能通过丰富的模块库（如mod_ssl、mod_sql、mod_ldap等）轻松扩展出SSL/TLS加密传输、数据库驱动认证及细粒度访问控制等高级功能。

无论是个人轻量级文件共享，还是企业高并发、多用户的复杂传输场景，ProFTPD都能以出色的性能表现和严密的安全机制（如chroot目录监禁、带宽与连接数限制）提供稳定可靠的服务支撑。

0x01 漏洞描述

漏洞根源在于is_escaped_text() 函数的逻辑缺陷——该函数的设计意图是识别“已经转义过的安全文本”以避免重复处理，但其判断规则过于简单：只要字符串以单引号开头和结尾、且中间不含引号，就认定是安全的。

攻击者可利用这一缺陷，构造形如 '恶意SQL代码' 的用户名，使系统误判为已转义文本而跳过正常的输入清洗，随后该用户名通过%U等占位符被原样插入到SQLNamedQuery定义的日志写入语句中，最终在数据库层面执行任意SQL命令。

该漏洞的攻击面取决于具体配置，需要mod_sql模块启用且SQLLog/SQLNamedQuery的格式字符串中引用了攻击者可控的变量。在仅开启SQL日志的场景下，攻击者可篡改日志记录或探测数据库结构；若同时启用了数据库认证，则可实现身份验证绕过、注入后门用户乃至权限提升；当数据库用户权限过高且数据库支持系统命令执行时（如PostgreSQL的COPY TO PROGRAM），还可进一步实现远程代码执行。

由于官方文档中推荐的日志配置模式恰好容易引入这一危险写法，大量实际部署的mod_sql实例因此受到影响，尤其在共享主机、Web托管等使用数据库集中管理FTP用户的场景中风险尤为突出。

0x02 CVE编号

CVE-2026-42167

0x03 影响版本

ProFTPD&nbsp;<&nbsp;1.3.9a（所有启用mod_sql日志功能的版本）

0x04 漏洞详情

POC：

https://github.com/ZeroPathAI/proftpd-CVE-2026-42167-poc

0x05 参考链接

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.10rc1

https://github.com/proftpd/proftpd/issues/2052

推荐阅读：

CVE-2026-41940｜cPanel/WHM登录流程认证绕过漏洞（POC）

CVE-2026-40175｜Axios存在CRLF注入漏洞（POC）

CVE-2026-33439｜OpenAM反序列化远程代码执行（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy alicy《CVE-2026-42167｜ProFTPD允许绕过身份验证的远程代码执行漏洞（POC）》