Investigadores de seguridad han identificado una nueva vulnerabilidad crítica en Monsta FTP, un popular cliente FTP basado en la web utilizado por instituciones financieras, empresas y usuarios particulares en distintos países. La vulnerabilidad, catalogada como CVE-2025-34299, afecta a todas las versiones del software hasta la 2.11.2 y está siendo explotada activamente en entornos reales, lo que incrementa el nivel de riesgo para miles de implementaciones.El problema salió a la luz cuando especialistas de watchTowr Labs examinaban una versión anterior del producto como parte de un análisis rutinario de amenazas. Durante la investigación detectaron que vulnerabilidades previamente reportadas en la versión 2.10.3 no habían sido corregidas de forma efectiva, pese a los esfuerzos de los desarrolladores por incorporar nuevas funciones de validación de entrada en la serie 2.11. Estas mejoras, contenidas en el archivo inputValidator.php, reforzaban ciertos controles, pero no lograban mitigar el fallo central que permite la ejecución remota de código.La vulnerabilidad reside en la función downloadFile, encargada de gestionar la descarga de archivos desde servidores SFTP externos. Según los investigadores, un atacante puede enviar una única solicitud HTTP especialmente manipulada para forzar al sistema a conectarse con un servidor SFTP bajo su control y escribir un archivo malicioso en cualquier ubicación accesible del servidor objetivo. Una vez depositado el archivo, es posible ejecutar código sin necesidad de autenticación, lo que podría derivar en el compromiso total del sistema afectado.Ante la gravedad del hallazgo, los desarrolladores de Monsta FTP lanzaron la versión 2.11.3 el pasado 26 de agosto de 2025, parcheando la vulnerabilidad. La asignación oficial del identificador CVE llegó el 4 de noviembre. Los expertos recomiendan a todas las organizaciones actualizar de inmediato y reforzar sus controles internos, recordando que la falta de remediación adecuada en componentes de terceros sigue siendo uno de los vectores de ataque más frecuentes en aplicaciones web.Más información:https://gbhackers.com/monsta-ftp-remote-code-execution-flaw/https://nvd.nist.gov/vuln/detail/CVE-2025-34299https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-34299La entrada CVE-2025-34299: Monsta FTP vulnerable a ejecución remota se publicó primero en Una Al Día.