一、漏洞詳情
CrushFTP是由CrushFTP LLC開發(fā)的文件傳輸服務(wù)器軟件。
近日,監(jiān)測(cè)到官方修復(fù)CrushFTP 身份驗(yàn)證繞過(guò)漏洞(CVE-2025-2825)����,該漏洞源于處理身份驗(yàn)證標(biāo)頭不當(dāng),攻擊者可繞過(guò)認(rèn)證機(jī)制獲取管理員權(quán)限,進(jìn)而可能獲取敏感信息��、篡改數(shù)據(jù)或執(zhí)行其他惡意操作。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作�����,以免遭受黑客攻擊�����。
二����、影響范圍
10.0.0 <= CrushFTP <= 10.8.3
11.0.0 <= CrushFTP <= 11.3.0
三����、修復(fù)建議
目前官方已有可更新版本�����,建議受影響用戶升級(jí)至最新版本:
CrushFTP 10.* >= 10.8.4
CrushFTP 11.* >= 11.3.4