CrushFTP中的安全漏洞CVE-2025-63420

CrushFTP是CrushFTP公司的文件传输服务器，作为一款跨平台FTP服务器软件，支持多种协议和高级安全功能，适用于企业及个人用户。

一、基本情况

CrushFTP是一款支持FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件，轻量且高效。

CrushFTP同时提供一个WEB接口让用户可以使用浏览器来管理他们的文件，软件提供了Web管理界面，用户可通过浏览器直接操作文件。

栋科技漏洞库关注到 CrushFTP 受影响版本中存在一个安全漏洞，该漏洞现在已经被追踪为CVE-2025-63420，漏洞的CVSS 3.X评分4.1。

二、漏洞分析

CVE-2025-63420是存在于CrushFTP 11.3.7_50版本中的漏洞，具有创建文件夹权限的经过身份验证的攻击者注入恶意HTML/JavaScript。

漏洞源于Admin Panel中Reports/Who Created Folder功能未正确处理输入，导致存储型跨站脚本攻击，在管理会话实现持久HTML执行。

CrushFTP管理面板（报告/“谁创建了文件夹”）中存储的HTMLi漏洞允许具有创建文件夹权限的经过身份验证的攻击者注入恶意HTML代码。

注意：该漏洞仅发生在Linux服务器上，而不发生在Windows服务器上，因为Windows服务器不允许在文件名/文件夹名中使用特殊字符。

三、POC概念验证

1、引导到http://127.0.0.1:8080/

2、使用以下有效负载创建新文件夹：

管理员已设置登录后刷新可查看

3、引导到http://127.0.0.1:8080/WebInterface/admin/index.html，点击“Reports”并选择“Who Created Folder”：

4、点击“Run Report”

5、待报告加载，加载报告后，向下滚动并观察HTMLi：

6、出于某些UI原因，您可能希望在同一负载中创建2个文件夹，以便HTMLi显示。

四、影响范围

CrushFTP <= 11.3.7_50

五、修复建议

CrushFTP > 11.3.7_50

六、参考链接

管理员已设置登录后刷新可查看