基本信息
漏洞编号: CVE-2025-2825
危险等级: 高危
影响版本: 10.0.0 <= CrushFTP < 10.7.1,11.0.0 <= CrushFTP < 11.1.0
受影响组件: CrushFTP
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
CrushFTP是一款支持多种协议的跨平台FTP服务器软件。在CVE-2025-2825中,攻击者可以通过构造特定的恶意请求绕过身份认证,进而调用后台受保护的功能。这可能导致未经授权的访问或敏感数据泄露。
影响范围
影响版本
10.0.0 <= CrushFTP < 10.7.1
11.0.0 <= CrushFTP < 11.1.0
受影响的场景
- 未升级到最新版本的CrushFTP服务器
- 对外暴露的CrushFTP接口
- 默认或弱配置的身份认证机制
修复方案
方案一:版本升级(推荐)
请升级到CrushFTP的最新版本。官方已发布补丁以修复该漏洞。
方案二:临时缓解
在无法立刻升级时,可以采取以下措施进行风险缓解:
- 限制对CrushFTP接口的访问,仅允许可信的IP地址访问。
- 启用更强的身份认证机制,如双因素认证。