Menu
地址:?廣州市越秀區(qū)東風(fēng)東路750號廣聯(lián)大廈13樓1307-1309室
電話:18898400087
漏洞描述:
CrushFTP 是由 CrushFTP LLC 開發(fā)的文件傳輸服務(wù)器軟件。CrushFTP 的主要用途是提供安全、可靠的文件傳輸服務(wù)。它允許用戶通過多種協(xié)議(如FTP、SFTP、HTTP、WebDAV等)安全地上傳、下載和管理文件。CrushFTP 提供了許多安全特性,包括 SSL/TLS 加密、用戶認證、目錄權(quán)限控制等。CrushFTP 被廣泛用于企業(yè)、教育機構(gòu)和個人用戶之間安全地傳輸文件。
近日,監(jiān)測到官方修復(fù)CrushFTP 身份驗證繞過漏洞(CVE-2025-2825),該漏洞源于處理身份驗證標(biāo)頭不當(dāng),攻擊者可繞過認證機制獲取管理員權(quán)限,進而可能獲取敏感信息、篡改數(shù)據(jù)或執(zhí)行其他惡意操作。目前該漏洞技術(shù)細節(jié)與POC已在互聯(lián)網(wǎng)上公開,鑒于該漏洞影響范圍較大,建議客戶盡快做好自查及防護。
影響版本:
10.0.0 <= CrushFTP <= 10.8.3
11.0.0 <= CrushFTP <= 11.3.0
修復(fù)建議
目前官方已有可更新版本,建議受影響用戶升級至最新版本:
CrushFTP 10.* >= 10.8.4
CrushFTP 11.* >= 11.3.4
官方補丁下載地址:
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
修復(fù)緩解措施:
1.部署 WAF 以攔截包含惡意 Authorization 頭的請求。
2.限制外部網(wǎng)絡(luò)對 CrushFTP 服務(wù)的訪問。
3.對關(guān)鍵系統(tǒng)進行監(jiān)控,及時發(fā)現(xiàn)異常行為。
參考鏈接:
[1]https://projectdiscovery.io/blog/crushftp-authentication-bypass
[2]https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
粵公網(wǎng)安備 44010402002568號