CrushFTP for Windows中存在CVE-2024-53552漏洞

CrushFTP是一款商业软件，是支持FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。

CrushFTP支持多种操作系统，这款软件具有强大的安全性和高级配置选项，包括SSL/TLS传输加密、IP过滤和多因素身份验证等等功能。

一、基本情况

CrushFTP提供许多集成工具和插件，方便用户进行扩展和定制，该软件还提供了一个WEB接口让用户可以使用浏览器来管理他们的文件。

栋科技漏洞库关注到 CrushFTP 受影响版本中存在一个容易受到密码重置电子邮件攻击而导致的漏洞，该漏洞被追踪为CVE-2024-53552。

二、漏洞分析

CVE-2024-53552漏洞是CrushFTP低于 10.8.3 的 V10 版本和低于 11.2.3 的 V11 版本存在的一个漏洞，容易受到密码重置电子邮件攻击。

该漏洞的存在，允许攻击者向受影响用户发送精心制作的链接，受影响终端用户一旦点击了该链接，那么他们的帐户就会受到安全威胁。

具体来说，低于 10.8.3 的 V10 版本和低于 11.2.3 的 V11 版本容易受到密码重置电子邮件攻击，若用户点击该链接就会导致账户被接管。

三、影响范围

CrushFTP 10 < 10.8.3

CrushFTP 11 < 11.2.3

四、修复建议

更新中已提供漏洞补丁。请按照参考站点上的说明更新到最新的漏洞补丁版本：

CrushFTP >= 10.8.3

CrushFTP >= 11.2.3

五、参考链接

此处内容已隐藏，评论后刷新即可查看！