8.1分高危漏洞：FTP服务器的SQL注入陷阱

ProFTPD这个跑了二十多年的老牌FTP服务器，因为一个日志函数的引号判断逻辑，被敲上了8.1分的CVSS评分。攻击者不需要复杂工具，只需要一个精心构造的用户名，就能让数据库执行任意命令——从绕过登录到远程控制服务器，全看管理员怎么配的。

漏洞核心：一个函数的"聪明"反成破绽

问题出在is_escaped_text()函数。这个函数的设计意图是识别"已经转义过的安全文本"，避免重复处理。但它的判断规则太简单了：只要字符串以单引号开头和结尾，中间没有引号，就认定是安全的。

攻击者利用这个逻辑漏洞，构造'恶意代码'格式的用户名。系统一看"哦，有引号包围，肯定是转义过的"，直接放行，跳过了正常的清洗流程。结果这段"用户名"被原样送进数据库查询，变成可执行的SQL指令。

这个变量通常通过%U占位符插入日志。管理员用SQLNamedQuery指令配置日志存储时，很少会想到一个用户名能击穿整个安全模型。

攻击面有多大：看配置，但通常不小

ProFTPD的mod_sql模块本身是个常见配置。它让管理员能用数据库管用户，不用给每个FTP账号建本地Linux账户——这对托管几千个网站的服务商来说是刚需。

现代Linux发行版和主机管理面板（比如cPanel、Plesk这类）经常预装ProFTPD。ZeroPath Research指出，这种架构在共享主机环境里特别普遍。一个服务器挂几千个网站，数据库后端是标准操作。

但漏洞的实际危害取决于具体配置：

· 如果只开了日志、没开数据库认证，攻击者能篡改日志、注入假记录，或者通过SQL查询探测数据库结构

· 如果用了数据库认证，攻击者可以绕过密码验证直接登录，甚至提权到管理员

· 如果数据库用户权限给得宽，配合特定条件能执行系统命令，实现远程代码执行

最麻烦的是"配置漂移"——很多服务器最初只开日志，后来功能越加越多，权限越放越宽，但安全检查没跟上。

为什么现在才被发现：遗留代码的信任假设

ProFTPD的代码库可以追溯到1990年代末。is_escaped_text()这种"看起来合理"的防御逻辑，在当时可能确实挡住了一些简单攻击。但它犯了一个经典错误：用格式特征推断安全性，而不是真正验证内容。

单引号包围不等于转义。真正的转义需要处理引号内部的特殊字符，或者使用参数化查询把数据和指令分开。这个函数把"长得像转义的"当成"确实是转义的"，属于典型的逻辑型漏洞——代码能跑，测试能过，但攻击者换个角度就看穿了。

更深层的问题是FTP协议本身的尴尬地位。它太老了，老到很多人觉得"反正没人用了"，安全投入跟着下滑。但现实是，批量主机管理、嵌入式设备、企业内部文件传输，FTP/FTPS/SFTP的装机量依然巨大。攻击者从来不嫌弃旧目标，反而喜欢这种"没人管的老系统"。

修复建议：ZeroPath Research的紧急呼吁

安全团队和系统管理员需要立即行动。具体措施原文没展开，但从漏洞机理可以反推优先级：

第一，检查mod_sql是否启用，以及SQLNamedQuery里有没有用到%U这类用户输入变量。有的话，这段配置就是攻击入口。

第二，审视数据库账号权限。即使漏洞被利用，最小权限原则也能把损失关在数据库层，不至于直接拿到系统shell。

第三，关注ProFTPD官方补丁。CVE-2026-42167的修复大概率会修改is_escaped_text()的判断逻辑，或者干脆弃用这个函数，改用更严格的输入处理。

短期来看，这个漏洞会推动一波主机商的安全审计。长期来看，它再次证明：老代码的"合理假设"在新攻击面下往往是定时炸弹。FTP不会消失，但它需要的安全维护投入，和它的"过气"名声完全不成正比。

最后说句扎心的：这个漏洞的利用门槛低到令人发指——不需要0day挖掘能力，不需要复杂漏洞链，只需要懂SQL语法和引号匹配。在漏洞赏金平台上，这种"构造特定字符串就能RCE"的漏洞，通常归类为"新手友好型"。二十多年的老牌服务器被新手友好的方式击穿，这本身比技术细节更值得行业反思。