CrushFTP w wersjach 10 przed 10.8.3 oraz 11 przed 11.2.3 zawiera krytyczną podatność w mechanizmie resetowania hasła, umożliwiającą przejęcie dowolnego konta użytkownika. Ze względu na brak wymagań dotyczących uwierzytelnienia i sieciową dostępność błędu, zagrożenie jest wyjątkowo poważne.
▸ Pokaż oryginał (EN)
CrushFTP 10 before 10.8.3 and 11 before 11.2.3 mishandles password reset, leading to account takeover.
Podatność sklasyfikowana jako CWE-640 (Weak Password Recovery Mechanism for Forgotten Password) polega na nieprawidłowej obsłudze procesu resetowania hasła. Atakujący może wykorzystać wadliwy mechanizm resetowania bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika, przeprowadzając atak zdalnie przez sieć. W rezultacie możliwe jest przejęcie pełnej kontroli nad wybranym kontem.
Atakujący może przejąć dowolne konto użytkownika w systemie CrushFTP, uzyskując nieautoryzowany dostęp do przechowywanych danych oraz funkcji serwera FTP. W przypadku przejęcia konta administracyjnego skutki mogą obejmować pełne skompromitowanie systemu.
Należy niezwłocznie zaktualizować CrushFTP do wersji 10.8.3 lub nowszej (dla gałęzi 10) albo do wersji 11.2.3 lub nowszej (dla gałęzi 11). Szczegóły dostępne w dokumentacji producenta pod adresem: https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
CrushFTP w wersji 10 przed 10.8.3 oraz CrushFTP w wersji 11 przed 11.2.3
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HCrushftp
APPCrushftp10.0.0 – 10.8.3 (bez)11.0.0 – 11.2.3 (bez)
Powiązane podatności
CrushFTP – błąd walidacji AS2 umożliwia zdalny dostęp administracyjny
CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora
Server Side Template Injection w CrushFTP — RCE bez uwierzytelnienia
CrushFTP – krytyczna podatność na manipulację atrybutami obiektów (przed wersją 10.5.1)
CrushFTP 8.x before 8.2.0 has a serialization vulnerability.