Se ha reportado una vulnerabilidad crítica en la aplicación CrushFTP en todas las plataformas.
Productos Afectados:
- Versiones de CrushFTP < 10.7.1 y < 11.1.0
Las mismas están identificadas como:
- CVE-2024-4040: Se ha asignado una puntuación en CVSSv3 de 9.8, con una severidad crítica, esto podría permitir que un actor malicioso con privilegios mínimos, acceder a archivos del sistema operativo fuera de la sandbox VFS (Virtual File System) de CrushFTP. La falla ocurre cuando un usuario escapa de la sandbox del sistema afectado (la sandbox es un mecanismo de aislamiento de archivos y directorios utilizado por CrushFTP para limitar el acceso de los usuarios a determinadas áreas del sistema de archivos) pudiendo acceder a archivos de configuración del sistema.
Recomendación:
Se recomienda actualizar a la versión más reciente del software, emitida por el fabricante de software.
Referencias:
- https://www.opencve.io/cve/CVE-2024-4040
- https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update