CVE-2025-54309
CVE-2025-54309
En resumen
CrushFTP en versiones anteriores a 10.8.5 y 11.3.4_23 tiene un error en la validación del protocolo AS2 cuando la función DMZ proxy está deshabilitada, permitiendo que atacantes obtengan acceso de administrador a través de HTTPS sin autenticación adecuada.
Detalle técnico
CrushFTP valida incorrectamente solicitudes AS2 cuando DMZ proxy no está habilitado, permitiendo que atacantes remotos no autenticados eludan mecanismos de autenticación y obtengan privilegios administrativos vía HTTPS. La vulnerabilidad afecta versiones 10.x anteriores a 10.8.5 y 11.x anteriores a 11.3.4_23, con explotación activa confirmada en julio de 2025.
Resumen generado y traducido por IA a partir de la descripción oficial.
CrushFTP 10 before 10.8.5 and 11 before 11.3.4_23, when the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS, as exploited in the wild in July 2025.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
CrushFTP · CrushFTPPoCs públicas encontradas — 6
githubgithub.com/watchtowrlabs/watchTowr-vs-CrushFTP-Authentication-Bypass-CVE-2025-54309★ 28githubgithub.com/foregenix/CVE-2025-54309★ 2githubgithub.com/0xLittleSpidy/CVE-2025-54309★ 1githubgithub.com/blueisbeautiful/CVE-2025-54309★ 0githubgithub.com/whisperer1290/CVE-2025-54309__Enhanced_exploit★ 0githubgithub.com/chin-tech/CrushFTP_CVE-2025-54309★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://www.bleepingcomputer.com/news/security/crushftp-zero-day-exploited-in-attacks-to-gain-admin-access-on-servers/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-54309https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025https://www.rapid7.com/blog/post/crushftp-zero-day-exploited-in-the-wild/https://www.vicarius.io/vsociety/posts/cve-2025-54309-detect-crushftp-vulnerabilityhttps://www.vicarius.io/vsociety/posts/cve-2025-54309-mitigate-crushftp-vulnerability