CRITICAL✓ PATCH🇬🇧 English

CVE-2024-53552

CrushFTP: Przejęcie konta przez błąd w resetowaniu hasła

CVSS 9.8v3.1pub. 2024-12-10upd. 2025-06-27

CrushFTP w wersjach 10 przed 10.8.3 oraz 11 przed 11.2.3 zawiera krytyczną podatność w mechanizmie resetowania hasła, umożliwiającą przejęcie dowolnego konta użytkownika. Ze względu na brak wymagań dotyczących uwierzytelnienia i sieciową dostępność błędu, zagrożenie jest wyjątkowo poważne.

Pokaż oryginał (EN)

CrushFTP 10 before 10.8.3 and 11 before 11.2.3 mishandles password reset, leading to account takeover.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-640 (Weak Password Recovery Mechanism for Forgotten Password) polega na nieprawidłowej obsłudze procesu resetowania hasła. Atakujący może wykorzystać wadliwy mechanizm resetowania bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika, przeprowadzając atak zdalnie przez sieć. W rezultacie możliwe jest przejęcie pełnej kontroli nad wybranym kontem.

Skutki

Atakujący może przejąć dowolne konto użytkownika w systemie CrushFTP, uzyskując nieautoryzowany dostęp do przechowywanych danych oraz funkcji serwera FTP. W przypadku przejęcia konta administracyjnego skutki mogą obejmować pełne skompromitowanie systemu.

Mitygacja

Należy niezwłocznie zaktualizować CrushFTP do wersji 10.8.3 lub nowszej (dla gałęzi 10) albo do wersji 11.2.3 lub nowszej (dla gałęzi 11). Szczegóły dostępne w dokumentacji producenta pod adresem: https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update

Kogo dotyczy

CrushFTP w wersji 10 przed 10.8.3 oraz CrushFTP w wersji 11 przed 11.2.3

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Crushftp

    APP
    Crushftp
    10.0.0 – 10.8.3 (bez)11.0.0 – 11.2.3 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-54309CRITICAL9.0⚠ KEVPL ✓ten sam produkt

CrushFTP – błąd walidacji AS2 umożliwia zdalny dostęp administracyjny

CVE-2025-31161CRITICAL9.8⚠ KEVPL ✓ten sam produkt

CrushFTP – pominięcie uwierzytelnienia i przejęcie konta administratora

CVE-2024-4040CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Server Side Template Injection w CrushFTP — RCE bez uwierzytelnienia

CVE-2023-43177CRITICAL9.8PL ✓ten sam produkt

CrushFTP – krytyczna podatność na manipulację atrybutami obiektów (przed wersją 10.5.1)

CVE-2017-14035CRITICAL9.8ten sam produkt

CrushFTP 8.x before 8.2.0 has a serialization vulnerability.