CrushFTP 身份认证绕过漏洞(CVE-2025-54309)预警
1、基本情况
CrushFTP 是一款跨平台文件传输服务器,支持 FTP、SFTP、HTTP/S 和 WebDAV 协议,专为安全灵活的数据共享而设计。该软件提供基于 Web 的管理界面、基于角色的权限控制、目录服务集成以及双因素认证等强大的安全功能。
近日,监测发现 CrushFTP 官方发布安全公告,修复了 CrushFTP身份认证绕过漏洞(CVE-2025-54309),该漏洞源于 CrushFTP 在处理 AS2 信息头时存在竞争条件缺陷,攻击者可以通过精心构造的 HTTPS 请求序列绕过认证机制。成功利用此漏洞的攻击者可以获得 CrushFTP 管理员访问权限,进而能够调用内部 API 接口添加系统管理员账户,执行任意系统命令,造成远程命令执行,同时还可以检索敏感文件、创建恶意文件、修改系统配置等操作。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ version < 10.8.5
⚫ version < 11.3.4_23
3、处置建议
目前该漏洞已经修复,受影响用户可升级到安全版本。
下载链接:https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
4、参考链接
1) https://nvd.nist.gov/vuln/detail/CVE-2025-54309
2) https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025