一、基本情况
CrushFTP是由CrushFTP LLC开发的文件传输服务器软件。
二、漏洞描述
CrushFTP存在身份验证绕过漏洞(CVE-2025-54309),该漏洞产生于CrushFTP在处理AS2证书时存在缺陷,未正确实施DMZ代理功能,导致远程攻击者可以通过条件竞争获得管理员访问权限。
三、影响范围
10.0.0 <= CrushFTP < 10.8.5
11.0.0 <= CrushFTP < 11.3.4_23
四、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
CrushFTP 10.* >= 10.8.5
CrushFTP 11.* >= 11.3.4_23
