Af Eskil Sørensen, 22/04/24
Brugere af CrushFTP, som er en virksomhedsløsning til overførsel af filer, bliver opfordret til at opdatere til den nyeste version efter opdagelsen af en sikkerhedsfejl, der pt. er under målrettet udnyttelse in-the-wild.
Det skriver The Hacker News blandt andre.
Det drejer sig om CrushFTP v11-versioner under 11.1, der har en sårbarhed, hvor brugere kan undslippe deres VFS og downloade systemfiler. Sårbarheden er blevet rettet i version 11.1.0. Vejledning til opdateringen findes på CrushFTPs updateside.
Hvad angår version 10, er der udgivet en et patch med versionsnummer 10.7.1, der retter alle v10 versioner. Kører man stadig v9, bør man kontakte supporten for en patchet v9 version, fremgår det af en meddelelse fra CrushFTP.
Sårbarheden kan endnu ikke fået et CVE-identifikationsnummer og derfor heller ikke en CVSS-score.
Links
https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-exploited-zero-day-immediately/
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
https://thehackernews.com/2024/04/critical-update-crushftp-zero-day-flaw.html
https://securityaffairs.com/162067/hacking/crushftp-zero-day-exploited.html