CrushFTP远程代码执行漏洞CVE-2025-54309

CrushFTP是一款强大的文件传输服务器，与用户建立安全连接，支持 FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV、SCP 多种协议。

一、基本情况

CrushFTP易于部署和管理，提供基于 Web 的管理界面和多层安全控制，如用户权限管理、SSL/TLS 加密、IP 访问控制、双因素认证等。

CrushFTP 提供了丰富的特性和功能，使其适合个人用户以及企业环境中的应用，提供Web界面选项，包括AJAX/HTML5和Java applet。

栋科技漏洞库关注到CrushFTP存在HTTP(S)远程代码执行漏洞，该漏洞现在已经被追踪为CVE-2025-54309，漏洞的CVSS 3.1评分为9.8。

二、漏洞分析

CVE-2025-54309漏洞是CrushFTP存在HTTP(S)远程代码执行漏洞，该漏洞于2025年07月18日首次在野外环境被发现并被攻击者利用过。

这意味着，不使用DMZ代理功能的CrushFTP 10版本低于 10.8.5 和 11 版本低于 1.3.4_23，在处理AS2验证时存在CVE-2025-54309漏洞。

具体来说，攻击者通过逆向分析CrushFTP的代码更新，利用2025年07月01日之前版本中已修复的HTTP(S)缺陷，从而实现远程代码执行。

攻击者通过HTTP(S)请求获取管理权限并植入恶意脚本，入侵行为包括创建异常随机管理员账户、篡改版本号显示以及隐藏界面按钮等。

三、影响范围

CrushFTP 10.x < 10.8.5

CrushFTP 11.x < 11.3.4_23

四、修复建议

CrushFTP 10.x ≥ 10.8.5。

CrushFTP 11.x ≥ 11.3.4_23

五、参考链接

管理员已设置登录后刷新可查看