ГлавнаяБаза уязвимостей БДУ → BDU:2025-08775
7.6критическая

BDU:2025-08775

Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями
Опубликовано: 2025-07-21
Описание

Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP связана с использованием незащищенного альтернативного канала. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с повышенными привилегиями путём изменения административного пользователя на пользователя по умолчанию

Затрагиваемое ПО и версии
CrushFTP (от 10 до 10.8.5)CrushFTP (от 11 до 11.3.4_23)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование демилитаризованной зоны (DMZ) при организации доступа к уязвимому программному обеспечению;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей.

Использование рекомендаций:
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025https://www.bleepingcomputer.com/news/security/new-crushftp-zero-day-exploited-in-attacks-to-hijack-servers/
Проверьте безопасность своего сайта и почты → Полная проверка домена