ГлавнаяБаза уязвимостей БДУ → BDU:2024-03173
7.8высокая

BDU:2024-03173 (CVE-2024-4040)

Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP, позволяющая нарушителю выйти из виртуальной файловой системы (VFS) и получить доступ к системным файлам
Опубликовано: 2024-04-22
Описание

Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выйти из виртуальной файловой системы (VFS) и получить доступ к системным файлам

Затрагиваемое ПО и версии
CrushFTP (до 11.0.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование демилитаризованной зоны (DMZ) перед файловым сервером;
- ограничение доступа к файловому серверу из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к файловому серверу;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Использование рекомендаций производителя:
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
https://crushftp.com/version11_build.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.reddit.com/r/crowdstrike/comments/1c88788/situational_awareness_20240419_crushftp_virtual/https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Updatehttps://crushftp.com/version11_build.htmlhttps://github.com/rbih-boulanouar/CVE-2024-4040https://safe-surf.ru/upload/VULN-new/VULN.2024-04-26.1.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена