Описание
CrushFTP 10 before 10.8.5 and 11 before 11.3.4_23, when the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS, as exploited in the wild in July 2025.
Ссылки
- Press/Media Coverage
- Vendor Advisory
- Press/Media Coverage
- Third Party Advisory
- Third Party Advisory
- US Government Resource
Уязвимые конфигурации
Конфигурация 1Версия от 10.0.0 (включая) до 10.8.5 (исключая)Версия от 11.0.0 (включая) до 11.3.4_23 (исключая)
Одно из
cpe:2.3:a:crushftp:crushftp:*:*:*:*:*:*:*:*
cpe:2.3:a:crushftp:crushftp:*:*:*:*:*:*:*:*
EPSS
Процентиль: 99%
0.73547
Высокий
9 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-420
Связанные уязвимости
CVSS3: 9
github
7 месяцев назад
CrushFTP 10 before 10.8.5 and 11 before 11.3.4_23, when the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS, as exploited in the wild in July 2025.
CVSS3: 9
fstec
7 месяцев назад
Уязвимость веб-интерфейса кроссплатформенного FTP-сервера CrushFTP, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями
EPSS
Процентиль: 99%
0.73547
Высокий
9 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-420