Kritická zraniteľnosť CrushFTP umožňuje obísť prihlasovanie

CrushFTP obsahuje aktívne zneužívanú kritickú zraniteľnosť vo svojom autentifikačnom mechanizme, ktorá dovoľuje prihlásiť sa len s uvedením prihlasovacieho mena.

Zraniteľné systémy:

• CrushFTP 10.0.0 – 10.8.3
• CrushFTP 11.0.0 – 11.3.0

Opis činnosti:

CVE-2025-2825 (CVSS skóre 9,8)

Vývojári CrushFTP opravili kritickú zraniteľnosť CVE-2025-2825, ktorá umožňuje obídenie autentifikácie a získanie neoprávneného prístupu k zraniteľným systémom. Zraniteľnosť sa nachádza vo funkcii autentifikačného mechanizmu loginCheckHeaderAuth() v súbore ServerSessionHTTP.java. Útočník môže poslať autentifikačnú požiadavky s hlavičkou S3, ktorá obsahuje iba používateľské meno (Credential=username/). Pokiaľ toto neobsahuje tildu (~), parameter pre preskočenie kontroly hesla je nastavený na hodnotu „true“ a útočník získa prístup do systému.

Útočníci zraniteľnosť aktívne zneužívajú. Bezpečnostná platforma Shadowserver zaznamenala desiatky pokusov o zneužitie tejto zraniteľnosti na verejne dostupných CrushFTP serveroch.

Možné škody:

• Obídenie autentifikácie
• Získanie kontroly nad zraniteľným systémom

Odporúčania:

Bezodkladná aktualizácia CrushFTP aspoň na verziu 10.8.4 alebo 11.3.1.

Pokiaľ aktualizácia nie je možná, môžete ju mitigovať povolením možnosti DMZ.

Odkazy:

• https://projectdiscovery.io/blog/crushftp-authentication-bypass
• https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/