Vulnerabilidad en CrushFTP 10 (CVE-2025-31161)

CrushFTP 10 anterior a la 10.8.4 y 11 anterior a la 11.3.1 permite omitir la autenticación y tomar el control de la cuenta crushadmin (a menos que se utilice una instancia de proxy DMZ), como se explotó en marzo y abril de 2025, también conocido como "Acceso al puerto HTTP(S) sin autenticar". Existe una condición de ejecución en el método de autorización AWS4-HMAC (compatible con S3) del componente HTTP del servidor FTP. El servidor verifica primero la existencia del usuario mediante una llamada a login_user_pass() sin necesidad de contraseña. Esto autenticará la sesión mediante el proceso de verificación HMAC hasta que el servidor vuelva a verificar la verificación del usuario. La vulnerabilidad se puede estabilizar aún más, eliminando la necesidad de activar una condición de ejecución, mediante el envío de un encabezado AWS4-HMAC alterado. Al proporcionar únicamente el nombre de usuario y una barra diagonal (/), el servidor encontrará un nombre de usuario, lo que activará la autenticación anypass. Sin embargo, no encontrará la entrada SignedHeaders esperada, lo que generará un error de indexación fuera de los límites que impedirá que el código complete la limpieza de la sesión. En conjunto, estos problemas dificultan la autenticación con cualquier usuario conocido o indeterminado (p. ej., crushadmin) y pueden comprometer por completo el sistema al obtener una cuenta administrativa.