CVE-2025-54309
CVE-2025-54309
Em resumo
O CrushFTP versões anteriores a 10.8.5 e 11.3.4_23 tem um erro na validação do protocolo AS2 quando a função DMZ proxy está desativada, permitindo que atacantes ganhem acesso de administrador via HTTPS sem autenticação adequada.
Detalhe técnico
O CrushFTP valida incorretamente requisições AS2 quando o DMZ proxy não está habilitado, permitindo que atacantes remotos não autenticados contornem mecanismos de autenticação e obtenham privilégios administrativos via HTTPS. A vulnerabilidade afeta versões 10.x anteriores a 10.8.5 e 11.x anteriores a 11.3.4_23, com exploração ativa confirmada em julho de 2025.
Resumo gerado e traduzido por IA a partir da descrição oficial.
CrushFTP 10 before 10.8.5 and 11 before 11.3.4_23, when the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS, as exploited in the wild in July 2025.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
CrushFTP · CrushFTPPoCs públicas encontradas — 6
githubgithub.com/watchtowrlabs/watchTowr-vs-CrushFTP-Authentication-Bypass-CVE-2025-54309★ 28githubgithub.com/foregenix/CVE-2025-54309★ 2githubgithub.com/0xLittleSpidy/CVE-2025-54309★ 1githubgithub.com/blueisbeautiful/CVE-2025-54309★ 0githubgithub.com/whisperer1290/CVE-2025-54309__Enhanced_exploit★ 0githubgithub.com/chin-tech/CrushFTP_CVE-2025-54309★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://www.bleepingcomputer.com/news/security/crushftp-zero-day-exploited-in-attacks-to-gain-admin-access-on-servers/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-54309https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025https://www.rapid7.com/blog/post/crushftp-zero-day-exploited-in-the-wild/https://www.vicarius.io/vsociety/posts/cve-2025-54309-detect-crushftp-vulnerabilityhttps://www.vicarius.io/vsociety/posts/cve-2025-54309-mitigate-crushftp-vulnerability