漏洞概况
CrushFTP是一款企业级文件传输服务器,被广泛用于安全地共享和管理文件。
近日,微步情报局获取到CrushFTP修复了一处身份认证绕过漏洞(CVE-2025-54309)。根据微步漏洞情报显示,该漏洞已经被黑客组织积极利用 (完整漏洞利用情报请查阅https://x.threatbook.com/v5/vul/XVE-2025-27774)。
微步情报局已成功复现该漏洞。经分析该漏洞为CrushFTP的AS2验证存在竞争条件,通过创建一组共享相同会话标识符的竞争请求,其中一个请求将用户名属性设置为crushadmin,另一个请求以该用户身份执行经过身份验证的命令导致身份认证绕过漏洞。
漏洞细节已披露,建议受影响用户尽快修复。
漏洞处置优先级(VPT)
漏洞影响范围
漏洞复现
修复方案
官方修复方案:
CrushFTP官方已发布新版本修复该漏洞,请尽快前往下载更新:
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
临时缓解措施:
- 在管理界面中使用DMZ实例让CrushFTP在受限环境中运行 (https://www.crushftp.com/crush11wiki/Wiki.jsp?page=DMZ)
微步产品侧支持
- 微步威胁感知平台TDP已支持检测,检测ID:S3100167483 可检出,模型/规则高于20250827000000可检出。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
