Krytyczna podatność typu Server Side Template Injection (SSTI) w CrushFTP umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu, obejście uwierzytelnienia i odczyt dowolnych plików z serwera. Podatność jest aktywnie eksploitowana i została włączona do katalogu CISA KEV.
▸ Pokaż oryginał (EN)
A server side template injection vulnerability in CrushFTP in all versions before 10.7.1 and 11.1.0 on all platforms allows unauthenticated remote attackers to read files from the filesystem outside of the VFS Sandbox, bypass authentication to gain administrative access, and perform remote code execution on the server.
Błąd wynika z nieprawidłowej obsługi szablonów po stronie serwera (CWE-1336, CWE-94), co pozwala atakującemu na wstrzyknięcie złośliwego kodu do silnika szablonów bez konieczności posiadania jakichkolwiek poświadczeń. Wykorzystanie podatności umożliwia wyjście poza wirtualną piaskownicę systemu plików (VFS Sandbox) i dostęp do zasobów systemu operacyjnego. W konsekwencji atakujący może eskalować atak do pełnego przejęcia serwera poprzez wykonanie dowolnych poleceń systemowych (RCE).
Atakujący może uzyskać nieautoryzowany dostęp administracyjny, odczytać dowolne pliki z systemu plików poza VFS Sandbox oraz wykonać zdalny kod na serwerze (RCE), co prowadzi do całkowitego przejęcia kontroli nad systemem.
Należy natychmiast zaktualizować CrushFTP do wersji 10.7.1 lub nowszej (w gałęzi 10.x) albo do wersji 11.1.0 lub nowszej (w gałęzi 11.x). Instrukcje aktualizacji dostępne są w oficjalnym wiki producenta pod adresami wskazanymi w referencjach.
CrushFTP we wszystkich wersjach przed 10.7.1 oraz przed 11.1.0 na wszystkich platformach
Podatność była eksploitowana jako zero-day w momencie ujawnienia (22 kwietnia 2024). Producent CrushFTP wydał ostrzeżenie wzywające użytkowników do natychmiastowego zastosowania patcha. Publiczny kod PoC dostępny jest w repozytorium Airbus CERT na GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HCrushftp
APPCrushftp10.0.0 – 10.7.1 (bez)11.0.0 – 11.1.0 (bez)
CISA KEV — szczegółyi
- Dostawcai
- CrushFTP
- Produkti
- CrushFTP
- Data dodania do KEVi
- 24 kwietnia 2024
- Termin remediation (USA)i
- 1 maja 2024(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
CrushFTP zawiera niezidentyfikowaną lukę w sandbox, która umożliwia zdalnemu atakującemu wyjście z wirtualnego systemu plików (VFS) CrushFTP.
▸ Pokaż oryginał (EN)
CrushFTP contains an unspecified sandbox escape vulnerability that allows a remote attacker to escape the CrushFTP virtual file system (VFS).
Powiązane podatności
CrushFTP – błąd walidacji AS2 umożliwia zdalny dostęp administracyjny
CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora
CrushFTP: Przejęcie konta przez błąd w resetowaniu hasła
CrushFTP – krytyczna podatność na manipulację atrybutami obiektów (przed wersją 10.5.1)
CrushFTP 8.x before 8.2.0 has a serialization vulnerability.