【漏洞预警】CrushFTP 认证绕过模板注入漏洞(CVE-2024-4040)
【漏洞预警】CrushFTP 认证绕过模板注入漏洞(CVE-2024-4040)
cexlife 飓风网络安全 2024-04-25 17:34
漏洞描述:
CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件,CVE-2024-4040中,攻击者可构造恶意请求利用模版注入获取他人身份凭据,读取文件等,配合相关功能可造成远程代码执行,控制服务器。
解决建议:
升级至最新版本
参考链接:https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update