一、漏洞概述
漏洞名称 | CrushFTP HTTP(S)远程代码执行漏洞 |
CVE ID | CVE-2025-54309 |
漏洞类型 | RCE | 发现时间 | 2025-08-28 |
漏洞评分 | 9.8 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 已发现 |
CrushFTP是一款跨平台的高性能文件传输服务器软件,支持 FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV、SCP 等多种协议。其特点是易于部署和管理,提供基于 Web 的管理界面和多层安全控制,包括用户权限管理、SSL/TLS 加密、IP 访问控制、双因素认证等。CrushFTP 广泛应用于企业级安全文件共享、自动化文件传输和数据集成场景,支持集群、高可用部署及 DMZ 架构,适合对数据安全和性能要求较高的环境。
2025年8月28日,启明星辰集团VSRC监测到CrushFTP存在HTTP(S)远程代码执行漏洞。该漏洞于2025年7月18日首次在野外被发现,实际攻击活动可能更早开始。攻击者通过逆向分析CrushFTP的代码更新,利用7月1日之前版本中已修复的HTTP(S)缺陷,实现远程代码执行。成功利用后,攻击者可通过HTTP(S)请求获取管理权限并植入恶意脚本。入侵迹象包括创建异常随机管理员账户、篡改版本号显示以及隐藏界面按钮等。
二、影响范围
CrushFTP 11.x < 11.3.4_23。
三、安全措施
3.1 升级版本
将CrushFTP 10.x 升级至 ≥ 10.8.5。将CrushFTP 11.x 升级至 ≥ 11.3.4_23。
3.2 临时措施
启用IP白名单:配置CrushFTP仅允许特定IP地址连接服务器,降低被扫描和利用的风险。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://www.crushftp.com/crush11wiki/Wiki.CompromiseJuly2025/https://nvd.nist.gov/vuln/detail/CVE-2025-54309
京公网安备11010802024551号