Vulnerabilidades CrushFTP 2025
Vulnerabilidad 09/04
Introducción
La vulnerabilidad CVE-2025-31161 es una vulnerabilidad crítica que afecta a la aplicación de transferencia de archivos CrushFTP. Esta vulnerabilidad permite a los atacantes realizar un bypass de autenticación y acceder a los sistemas afectados sin necesidad de credenciales válidas. La vulnerabilidad tiene un puntaje de CVSS de 9.8, lo que la clasifica como una vulnerabilidad crítica.
La vulnerabilidad afecta a las versiones 10.0.0-10.8.3 y 11.0.0-11.3.0 de CrushFTP. El proveedor de seguridad de CrushFTP ha proporcionado una actualización de seguridad para corregir la vulnerabilidad.
Análisis
CVE-2025-31161 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8
La vulnerabilidad CVE-2025-31161 es una vulnerabilidad crítica que permite a los atacantes realizar un bypass de autenticación y acceder a los sistemas afectados sin necesidad de credenciales válidas. La vulnerabilidad se puede explotar mediante solicitudes HTTP remotas y no autenticadas, lo que permite a los atacantes acceder a los sistemas afectados y realizar acciones maliciosas.
La vulnerabilidad se debe a una condición de ejecución en el método de autorización AWS4-HMAC (compatible con S3) del componente HTTP del servidor FTP. El servidor verifica primero la existencia del usuario mediante una llamada a login_user_pass() sin necesidad de contraseñas. Esto autenticará la sesión mediante el proceso de verificación HMAC hasta que el servidor vuelva a verificar la verificación del usuario. La vulnerabilidad se puede estabilizar aún más, eliminando la necesidad de activar una condición de ejecución, mediante el envío de un encabezado AWS4-HMAC alterado.
Versiones afectadas
Las versiones afectadas de CrushFTP son:
- 10.0.0-10.8.3
- 11.0.0-11.3.0
Recomendaciones
Es fundamental que los usuarios de CrushFTP actualicen su aplicación a la versión más reciente para evitar ser afectados por esta vulnerabilidad. El proveedor de seguridad de CrushFTP ha proporcionado una actualización de seguridad para corregir la vulnerabilidad.
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.
Referencias
- https://cve.org/cverec ?id=CVE-2025-31161
- https://outpost24.com/blog/crushftp-auth-bypass-vulneability/
- https://www.huntress.com/blog/crushftp-cve-2025-31161-auth-bypass-and-post-exploitation
- https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Compromise&version=2&skin=raw
Vulnerabilidad 21/07
Introducción
CVE-2025-54309 es una vulnerabilidad de ejecución remota y escalado de privilegios que está siendo explotada activamente en sistemas CrushFTP en producción.
Análisis
CVE-2025-54309 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H - 9
CVE-2025-54309 es una falla en el manejo de las solicitudes a través del protocolo HTTPS, en particular, mediante la funcionalidad AS2, que permite a un atacante remoto obtener privilegios administrativos sin necesidad de autenticación. En otras palabras, un atacante puede tomar el control total del servidor simplemente enviando una solicitud maliciosa, sin necesidad de credenciales válidas.
Este tipo de acceso no autorizado permite modificar configuraciones, exfiltrar archivos, instalar malware y escalar lateralmente a otros sistemas conectados.
Versiones afectadas
Versiones CrushFTP 10 anteriores a 10.8.5 y CrushFTP 11 anteriores a 11.3.4_23.
Recomendaciones
- Actualizar las versiones correspondientes
- Auditar los registros del servidor en busca de accesos sospechosos o actividades no autorizadas.
- Revisar y restablecer las cuentas de usuario, especialmente si se detectan signos de compromiso.
- Aplicar controles de acceso a nivel de red, como restricciones por IP, limitaciones de tasa y monitoreo activo de tráfico HTTPS.
- Evitar confiar únicamente en mecanismos como la DMZ o firewalls perimetrales: si el servidor es accesible vía HTTPS, sigue siendo vulnerable sin parche.
Workarounds
No hay workarounds para esta vulnerabilidad.