Kritisk sårbarhet i CrushFTP

CrushFTP informerar om en kritisk sårbarhet i företagets produkt med samma namn. Genom att skicka HTTP(s)-trafik till ett sårbart system så kan en icke autentiserad angripare tillskansa sig rättigheter. [1]

NIST eller CrushFTP själva har ännu inte klassat sårbarheten, men Vulncheck ger klassningen 9.8 på den 10-gradiga skalan CVSS v3.1. [2] Tillverkaren uppmanar användare att genast uppdatera programvaran. [1]

Uppdatering 2025-04-02

PoC finns publikt tillgänglig och Shadowserver uppger att det skett försök att utnyttja sårbarheten, med hjälp av tillgänglig PoC. [3]

Påverkade produkter

CrushFTP version 11.0.0 till 11.3.0

CrushFTP version 10.0.0 till 10.8.3

[1]

Rekommendationer

CERT-SE rekommenderar att uppdatera enligt tillverkarens rekommenationer. [1]

Källor

[1] https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update

[2] https://nvd.nist.gov/vuln/detail/CVE-2025-2825

[3] https://bsky.app/profile/shadowserver.bsky.social/post/3llotkdrd5c2t