BDU:2025-08775
Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями
📄 Описание
Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP связана с использованием незащищенного альтернативного канала. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с повышенными привилегиями путём изменения административного пользователя на пользователя по умолчанию
🖥️ Уязвимое ПО
Converge Technology Solutions
Наименование ПО: CrushFTP
Версия ПО: от 10 до 10.8.5 (CrushFTP), от 11 до 11.3.4_23 (CrushFTP)
Тип ПО: Сетевое средство, Сетевое программное средство
ОС / платформа:
⚙️ Технические сведения
Тип ошибки
Незащищенный альтернативный канал (CWE-420)
Класс уязвимости
Уязвимость кода
Дата выявления
18.07.2025
Способ эксплуатации
Несанкционированный сбор информации
Способ устранения
Обновление программного обеспечения
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Устранение
Уязвимость устранена
📊 CVSS
CVSS 2.0
AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 3.0
AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
⚠️ Уровень опасности
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9)
🔗 Источники и меры
🔗 https://www.crushftp.com/crush11wiki/Wiki.jsp?page... 🔗 https://www.bleepingcomputer.com/news/security/new...
🏷️ Идентификаторы
CVE-2025-54309
📅 Даты
Дата публикации
21.07.2025
Последнее обновление
13.08.2025
← Назад к списку