Honderden Monsta FTP-clients die vanaf het internet toegankelijk zijn bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers op afstand code op systemen kunnen uitvoeren. Dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Een beveiligingsupdate is sinds 26 augustus beschikbaar, maar de ontwikkelaars hebben bij de release van de update geen melding van het beveiligingslek gemaakt, zo stelt securitybedrijf watchTowr

Monsta FTP is een webgebaseerde ftp-client. Het kritieke beveiligingslek, aangeduid als CVE-2025-34299, zorgt ervoor dat aanvallers vanaf een malafide ftp-server willekeurige bestanden naar kwetsbare clients kunnen uploaden. De client plaatst het bestand vervolgens in een door de aanvaller opgegeven locatie. Zo is het mogelijk om malware op het systeem te laten uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

De kwetsbaarheid is verholpen in versie 2.11.3, die op 26 augustus verscheen, aldus onderzoekers van securitybedrijf watchTowr. Bij de beschrijving van deze versie staat "minor bugs and fixes" en "no extended notes for release". Bij de release notes van versie 2.11.1, die op 15 augustus uitkwam, staat dat er een kwetsbaarheid met betrekking tot "file fetch" is verholpen. Dit is het onderdeel waar onderzoekers de kwetsbaarheid in vonden.

Hoewel een beveiligingsupdate al maanden beschikbaar is, blijken er nog honderden kwetsbare clients vanaf internet toegankelijk te zijn. Volgens watchTowr zijn er op elk gegeven moment meer dan vijfduizend installaties te vinden. Volgens The Shadowserver Foundation waren er afgelopen zondag nog zo'n achthonderd van deze installaties kwetsbaar voor CVE-2025-34299. Daarvan bevonden zich er dertien in Nederland.