CRITICAL🇬🇧 English

CVE-2023-43177

CrushFTP – krytyczna podatność na manipulację atrybutami obiektów (przed wersją 10.5.1)

CVSS 9.8v3.1pub. 2023-11-18upd. 2024-11-21

CrushFTP w wersjach wcześniejszych niż 10.5.1 zawiera krytyczną podatność polegającą na nieprawidłowej kontroli modyfikacji dynamicznie wyznaczanych atrybutów obiektów (CWE-913). Błąd umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu lub przejęcie kontroli nad systemem.

Pokaż oryginał (EN)

CrushFTP prior to 10.5.1 is vulnerable to Improperly Controlled Modification of Dynamically-Determined Object Attributes.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i kontroli dostępu do atrybutów obiektów, których wartości są ustalane dynamicznie w czasie działania aplikacji. Atakujący może zdalnie zmanipulować te atrybuty, przekazując odpowiednio spreparowane dane do serwera CrushFTP bez konieczności posiadania jakichkolwiek uprawnień. Ze względu na wektor sieciowy (AV:N), brak wymagania interakcji użytkownika (UI:N) oraz brak wymaganych uprawnień (PR:N), atak może być przeprowadzony w pełni zdalnie i bez wcześniejszego uwierzytelnienia.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do pełnego przejęcia kontroli nad serwerem – atakujący może uzyskać dostęp do poufnych danych, zmodyfikować lub usunąć pliki oraz doprowadzić do niedostępności usługi (pełna triada CIA: poufność, integralność, dostępność – wszystkie ocenione jako HIGH).

Mitygacja

Należy niezwłocznie zaktualizować CrushFTP do wersji 10.5.1 lub nowszej. Patche dostępne są u producenta zgodnie z referencjami.

Kogo dotyczy

CrushFTP w wersjach wcześniejszych niż 10.5.1

Uwagi

Podatność została opisana jako zero-day przez badaczy z Converge Technology Partners i opublikowana 16 listopada 2023 r. (CVE opublikowane 18 listopada 2023 r.). Szczegółowe informacje techniczne dostępne są pod adresem convergetp.com oraz w repozytorium GitHub the-emmons/CVE-Disclosures.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Crushftp

    APP
    Crushftp
    < 10.5.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54309CRITICAL9.0⚠ KEVPL ✓ten sam produkt

CrushFTP – błąd walidacji AS2 umożliwia zdalny dostęp administracyjny

CVE-2025-31161CRITICAL9.8⚠ KEVPL ✓ten sam produkt

CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora

CVE-2024-4040CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Server Side Template Injection w CrushFTP — RCE bez uwierzytelnienia

CVE-2024-53552CRITICAL9.8PL ✓ten sam produkt

CrushFTP: Przejęcie konta przez błąd w resetowaniu hasła

CVE-2017-14035CRITICAL9.8ten sam produkt

CrushFTP 8.x before 8.2.0 has a serialization vulnerability.