CVE-2025-31161

CrushFTP CrushFTP

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-04-07

Официальное описание

CrushFTP contains an authentication bypass vulnerability in the HTTP authorization header that allows a remote unauthenticated attacker to authenticate to any known or guessable user account (e.g., crushadmin), potentially leading to a full compromise.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-31161 представляет собой критическую уязвимость обхода аутентификации в HTTP-сервере CrushFTP. Проблема кроется в некорректной обработке заголовка Authorization.

Дистанционный неавторизованный злоумышленник может сформировать специальный HTTP-запрос, который позволяет войти в систему под любой известной или угадываемой учетной записью (например, crushadmin или admin) без знания пароля. Успешная эксплуатация дает полный административный доступ к серверу, позволяя просматривать, изменять или удалять файлы, а также изменять конфигурацию системы.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление CrushFTP до исправленной версии. Уязвимость устранена в версиях 11.1.2 и выше.

Для систем на базе Linux/Unix:

  1. Перейдите в директорию установки CrushFTP:
cd /var/opt/CrushFTP11/
  1. Запустите процесс обновления через командную строку:
java -jar CrushFTP.jar -update
  1. После завершения загрузки файлов перезапустите службу:
service crushftp restart

Для систем на базе Windows:

  1. Откройте PowerShell от имени администратора.

  2. Перейдите в папку с программой:

cd "C:\Program Files\CrushFTP11\"
  1. Выполните обновление:
java -jar CrushFTP.jar -update
  1. Перезапустите службу CrushFTP через оснастку services.msc или командой:
Restart-Service CrushFTP

Примечание: Если автоматическое обновление недоступно, скачайте последнюю версию с официального сайта и замените файлы CrushFTP.jar и папку plugins вручную.

Временные меры

Если немедленное обновление невозможно, примените следующие защитные механизмы для снижения риска:

  1. Ограничение доступа по IP: Настройте правила брандмауэра (Firewall) или списки контроля доступа (ACL) в настройках CrushFTP, чтобы разрешить доступ к административной панели управления только с доверенных IP-адресов.

  2. Использование Web Application Firewall (WAF): Настройте правила WAF для блокировки подозрительных или аномальных заголовков Authorization в HTTP-трафике, направленном на порт CrushFTP.

  3. Отключение неиспользуемых протоколов: Если HTTP/HTTPS интерфейс не требуется для работы внешних пользователей, временно отключите эти порты в настройках IP/Servers, оставив только SFTP/FTP.

  4. Мониторинг логов: Настройте оповещения на аномальные входы в систему под учетными записями администраторов, особенно если запросы поступают с нетипичных внешних адресов. Проверяйте SysLog на предмет успешных авторизаций без соответствующих записей о проверке пароля.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей