CrushFTP w wersjach wcześniejszych niż 10.5.1 zawiera krytyczną podatność polegającą na nieprawidłowej kontroli modyfikacji dynamicznie wyznaczanych atrybutów obiektów (CWE-913). Błąd umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu lub przejęcie kontroli nad systemem.
▸ Pokaż oryginał (EN)
CrushFTP prior to 10.5.1 is vulnerable to Improperly Controlled Modification of Dynamically-Determined Object Attributes.
Podatność wynika z braku odpowiedniej walidacji i kontroli dostępu do atrybutów obiektów, których wartości są ustalane dynamicznie w czasie działania aplikacji. Atakujący może zdalnie zmanipulować te atrybuty, przekazując odpowiednio spreparowane dane do serwera CrushFTP bez konieczności posiadania jakichkolwiek uprawnień. Ze względu na wektor sieciowy (AV:N), brak wymagania interakcji użytkownika (UI:N) oraz brak wymaganych uprawnień (PR:N), atak może być przeprowadzony w pełni zdalnie i bez wcześniejszego uwierzytelnienia.
Skuteczne wykorzystanie podatności może prowadzić do pełnego przejęcia kontroli nad serwerem – atakujący może uzyskać dostęp do poufnych danych, zmodyfikować lub usunąć pliki oraz doprowadzić do niedostępności usługi (pełna triada CIA: poufność, integralność, dostępność – wszystkie ocenione jako HIGH).
Należy niezwłocznie zaktualizować CrushFTP do wersji 10.5.1 lub nowszej. Patche dostępne są u producenta zgodnie z referencjami.
CrushFTP w wersjach wcześniejszych niż 10.5.1
Podatność została opisana jako zero-day przez badaczy z Converge Technology Partners i opublikowana 16 listopada 2023 r. (CVE opublikowane 18 listopada 2023 r.). Szczegółowe informacje techniczne dostępne są pod adresem convergetp.com oraz w repozytorium GitHub the-emmons/CVE-Disclosures.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HCrushftp
APPCrushftp< 10.5.2
Powiązane podatności
CrushFTP – błąd walidacji AS2 umożliwia zdalny dostęp administracyjny
CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora
Server Side Template Injection w CrushFTP — RCE bez uwierzytelnienia
CrushFTP: Przejęcie konta przez błąd w resetowaniu hasła
CrushFTP 8.x before 8.2.0 has a serialization vulnerability.