2024年4月25日,网上更新披露了一个CrushFTP 服务器端模板注入漏洞(CVE-2024-4040),CrushFTP是由CrushFTP LLC开发的文件传输服务器商业软件,请各位用户尽快安装漏洞补丁。
漏洞风险:CrushFTP 10.7.1及11.1.0版本之前存在服务器端模板注入漏洞,可能导致未经身份验证的威胁者从虚拟文件系统(VFS)沙箱外部的文件系统读取文件、绕过身份验证获得管理访问权限,进而可能在服务器中远程执行代码。
风险等级:高风险。
影响范围:
crushftp@(-∞, 10.7.1)
crushftp@[11.0, 11.1.0)
修复建议:
将组件 crushftp 升级至 11.1.0 及以上版本
进行安全更新方法:
https://www.crushftp.com/download.html
