Kritisk sårbarhet i CrushFTP
CrushFTP informerar om en kritisk sårbarhet i företagets produkt med samma namn. Genom att skicka HTTP(s)-trafik till ett sårbart system så kan en icke autentiserad angripare tillskansa sig rättigheter. [1]
NIST eller CrushFTP själva har ännu inte klassat sårbarheten, men Vulncheck ger klassningen 9.8 på den 10-gradiga skalan CVSS v3.1. [2] Tillverkaren uppmanar användare att genast uppdatera programvaran. [1]
Uppdatering 2025-04-02
PoC finns publikt tillgänglig och Shadowserver uppger att det skett försök att utnyttja sårbarheten, med hjälp av tillgänglig PoC. [3]
Påverkade produkter
CrushFTP version 11.0.0 till 11.3.0
CrushFTP version 10.0.0 till 10.8.3
[1]
Rekommendationer
CERT-SE rekommenderar att uppdatera enligt tillverkarens rekommenationer. [1]
Källor
[1] https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
[2] https://nvd.nist.gov/vuln/detail/CVE-2025-2825
[3] https://bsky.app/profile/shadowserver.bsky.social/post/3llotkdrd5c2t