Podatność w CrushFTP 10 i 11 polega na nieprawidłowej obsłudze walidacji protokołu AS2, co pozwala nieuwierzytelnionym atakującym uzyskać dostęp administratora przez HTTPS. Luka jest aktywnie wykorzystywana w środowisku produkcyjnym od lipca 2025 roku.
▸ Pokaż oryginał (EN)
CrushFTP 10 before 10.8.5 and 11 before 11.3.4_23, when the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS, as exploited in the wild in July 2025.
Gdy funkcja proxy DMZ nie jest używana, serwer CrushFTP błędnie obsługuje proces walidacji AS2 (CWE-420 – niezabezpieczony alternatywny kanał dostępu). Atakujący zdalny, bez żadnego uwierzytelnienia i interakcji po stronie użytkownika, może wysłać specjalnie spreparowane żądanie HTTPS, które omija mechanizmy kontroli dostępu. W efekcie uzyskuje uprawnienia administracyjne na serwerze.
Atakujący może przejąć pełną kontrolę administracyjną nad serwerem CrushFTP, co obejmuje dostęp do przechowywanych plików, konfiguracji systemu oraz możliwość dalszego naruszenia infrastruktury organizacji.
Należy natychmiast zaktualizować CrushFTP do wersji 10.8.5 lub nowszej (gałąź 10) albo do wersji 11.3.4_23 lub nowszej (gałąź 11). Jako obejście tymczasowe producent wskazuje włączenie funkcji DMZ proxy, która blokuje wektor ataku. Należy zapoznać się z oficjalnym komunikatem producenta dostępnym pod adresem crushftp.com.
CrushFTP w wersji 10 przed 10.8.5 oraz CrushFTP w wersji 11 przed 11.3.4_23, gdy funkcja proxy DMZ nie jest skonfigurowana i aktywna.
Podatność była aktywnie wykorzystywana w środowisku produkcyjnym w lipcu 2025 roku, co potwierdza wpis producenta oraz doniesienia mediów branżowych (BleepingComputer, Rapid7). Luka jest klasyfikowana jako zero-day w momencie eksploatacji.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HCrushftp
APPCrushftp10.0.0 – 10.8.5 (bez)11.0.0 – 11.3.4_23 (bez)
CISA KEV — szczegółyi
- Dostawcai
- CrushFTP
- Produkti
- CrushFTP
- Data dodania do KEVi
- 22 lipca 2025
- Termin remediation (USA)i
- 12 sierpnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CrushFTP zawiera lukę w niezachronionej kanale alternatywnym. Gdy funkcja proxy DMZ nie jest używana, nieprawidłowo obsługuje walidację AS2, co umożliwia atakującym uzyskanie dostępu administratora za pośrednictwem HTTPS.
▸ Pokaż oryginał (EN)
CrushFTP contains an unprotected alternate channel vulnerability. When the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS.
Powiązane podatności
CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora
Server Side Template Injection w CrushFTP — RCE bez uwierzytelnienia
CrushFTP: Przejęcie konta przez błąd w resetowaniu hasła
CrushFTP – krytyczna podatność na manipulację atrybutami obiektów (przed wersją 10.5.1)
CrushFTP 8.x before 8.2.0 has a serialization vulnerability.