漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825)
1、漏洞概述
近日,CrushFTP 发布更新修复高风险漏洞(CVE-2025-2825),攻击者可以利用该漏洞绕过认证机制,访问高风险接口,可造成敏感信息泄露,上传恶意内容,创建管理员账号等恶意利用。建议您及时开展安全风险自查。
CrushFTP 是一款多协议、跨平台的企业级文件传输服务器软件,专注于提供安全、高效的文件传输与管理服务。 支持 FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV 等多种文件传输协议。
据描述,CrushFTP 支持多种协议, 自第10版起,CrushFTP 还实现了与 S3 兼容的 API 访问,允许客户端使用与 Amazon S3 存储服务相同的 API 格式与其进行交互。服务器从凭证字段(Credential field)中提取 AccessKey 值以识别用户,然后验证签名(Signature)以确保请求的真实性。然而,CrushFTP 在实现这一机制时存在一个关键缺陷。由于其低复杂度、基于网络的攻击向量以及潜在的影响,获得了 CVSS 评分 9.8(严重)。CrushFTP 在版本 11.3.1 解决了此漏洞。
漏洞影响的产品和版本:
10.0.0 <= CrushFTP <= 10.8.3
11.0.0 <= CrushFTP <= 11.3.0
2、漏洞复现
3、资产测绘
据daydaymap数据显示互联网存在33,112个资产,国内风险资产分布情况如下:
4、解决方案
临时缓解方案:
公网部署需要添加限制,允许IP白名单访问。
升级修复:
目前官方已发布修复安全补丁
http://www.crushftp.com/download.html
5、参考链接
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
https://www.ddpoc.com/DVB-2023-9025.html
