CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-54309

CrushFTP – błąd walidacji AS2 umożliwia zdalny dostęp administracyjny

CVSS 9.0v3.1pub. 2025-07-18upd. 2025-11-05

Podatność w CrushFTP 10 i 11 polega na nieprawidłowej obsłudze walidacji protokołu AS2, co pozwala nieuwierzytelnionym atakującym uzyskać dostęp administratora przez HTTPS. Luka jest aktywnie wykorzystywana w środowisku produkcyjnym od lipca 2025 roku.

Pokaż oryginał (EN)

CrushFTP 10 before 10.8.5 and 11 before 11.3.4_23, when the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS, as exploited in the wild in July 2025.

🤖 Analiza AI
Jak działa

Gdy funkcja proxy DMZ nie jest używana, serwer CrushFTP błędnie obsługuje proces walidacji AS2 (CWE-420 – niezabezpieczony alternatywny kanał dostępu). Atakujący zdalny, bez żadnego uwierzytelnienia i interakcji po stronie użytkownika, może wysłać specjalnie spreparowane żądanie HTTPS, które omija mechanizmy kontroli dostępu. W efekcie uzyskuje uprawnienia administracyjne na serwerze.

Skutki

Atakujący może przejąć pełną kontrolę administracyjną nad serwerem CrushFTP, co obejmuje dostęp do przechowywanych plików, konfiguracji systemu oraz możliwość dalszego naruszenia infrastruktury organizacji.

Mitygacja

Należy natychmiast zaktualizować CrushFTP do wersji 10.8.5 lub nowszej (gałąź 10) albo do wersji 11.3.4_23 lub nowszej (gałąź 11). Jako obejście tymczasowe producent wskazuje włączenie funkcji DMZ proxy, która blokuje wektor ataku. Należy zapoznać się z oficjalnym komunikatem producenta dostępnym pod adresem crushftp.com.

Kogo dotyczy

CrushFTP w wersji 10 przed 10.8.5 oraz CrushFTP w wersji 11 przed 11.3.4_23, gdy funkcja proxy DMZ nie jest skonfigurowana i aktywna.

Uwagi

Podatność była aktywnie wykorzystywana w środowisku produkcyjnym w lipcu 2025 roku, co potwierdza wpis producenta oraz doniesienia mediów branżowych (BleepingComputer, Rapid7). Luka jest klasyfikowana jako zero-day w momencie eksploatacji.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Crushftp

    APP
    Crushftp
    10.0.0 – 10.8.5 (bez)11.0.0 – 11.3.4_23 (bez)

CISA KEV — szczegółyi

Dostawcai
CrushFTP
Produkti
CrushFTP
Data dodania do KEVi
22 lipca 2025
Termin remediation (USA)i
12 sierpnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

CrushFTP zawiera lukę w niezachronionej kanale alternatywnym. Gdy funkcja proxy DMZ nie jest używana, nieprawidłowo obsługuje walidację AS2, co umożliwia atakującym uzyskanie dostępu administratora za pośrednictwem HTTPS.

tłumaczenie AI
Pokaż oryginał (EN)

CrushFTP contains an unprotected alternate channel vulnerability. When the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 12 sierpnia 2025
CWE
Referencje

Powiązane podatności

CVE-2025-31161CRITICAL9.8⚠ KEVPL ✓ten sam produkt

CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora

CVE-2024-4040CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Server Side Template Injection w CrushFTP — RCE bez uwierzytelnienia

CVE-2024-53552CRITICAL9.8PL ✓ten sam produkt

CrushFTP: Przejęcie konta przez błąd w resetowaniu hasła

CVE-2023-43177CRITICAL9.8PL ✓ten sam produkt

CrushFTP – krytyczna podatność na manipulację atrybutami obiektów (przed wersją 10.5.1)

CVE-2017-14035CRITICAL9.8ten sam produkt

CrushFTP 8.x before 8.2.0 has a serialization vulnerability.