Una vulnerabilidad de seguridad crítica que afecta a CrushFTP podría permitir a los actores maliciosos obtener acceso administrativo a través de la interfaz web en servidores vulnerables.
Productos afectados
- Todas las versiones 10 anteriores a 10.8.5.
- Todas las versiones 11 anteriores a 11.3.4_23
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-54309: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de validación de AS2 incorrecta en CrushFTP 10 anterior a 10.8.5 y 11 anterior a 11.3.4_23, que podría permitir a un actor malicioso remoto obtener acceso de administrador a través de HTTPS.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
- https://nvd.nist.gov/vuln/detail/CVE-2025-54309