Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Canal alternativo sin protección en CrushFTP

Fecha de publicación 21/07/2025
Identificador
INCIBE-2025-0389
Importancia
5 - Crítica
Recursos Afectados
  • Todas las versiones 10 anteriores a 10.8.5;
  • Todas las versiones 11 anteriores a 11.3.4_23.
Descripción

CrushFTP ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto obtener acceso de administrador a través de HTTPS.

La empresa ha confirmado que se ha detectado un exploit 0day.

Solución

Las últimas versiones 10.8.5 y la 11.3.4_23 de CrushFTP ya incorporan la corrección del problema.

Detalle

La vulnerabilidad de severidad crítica se produce cuando no se utiliza la función de proxy DMZ, ya que maneja incorrectamente la validación AS2 y, como consecuencia, permite a atacantes remotos obtener acceso de administrador a través de HTTPS.

Se a asignado el identificador CVE-2025-54309 para esta vulnerabilidad.

CVE
Explotación
Fabricante
crushftp
Identificador CVE
CVE-2025-54309
Severidad
Crítica
Listado de referencias
Compromise July 2025
Etiquetas