نفوذگران اکنون در حال اکسپلویت از آسیبپذیری حیاتی عبور از احراز هویت در نرمافزار انتقال فایل CrushFTP هستند و حملات با استفاده از کد PoC عمومی منتشر شده، انجام میشود.
آسیبپذیری امنیتی با شناسه CVE-2025-2825 و امتیاز 9.8 (که توسط Outpost24 با شناسه CVE-2025-31161 نیز ردیابی شد) اجازه میدهد عوامل تهدید از راه دور به دستگاههای CrushFTP که نسخههای آسیبپذیر v10 یا v11 را اجرا میکنند، بدون احراز هویت دسترسی پیدا کنند. CrushFTP به کاربران هشدار داد تا فوراً برای به روزرسانی اقدام کنند. آسیبپذیری زمانی که پورت HTTP(S) باز باشد، میتواند منجر به دسترسی غیر مجاز شود. به عنوان راهکار موقت، مدیرانی که نمیتوانند فوراً به نسخههای 10.8.4 یا بالاتر و 11.3.1 یا بالاتر ارتقا دهند، تا زمان اعمال وصله میتوانند گزینه شبکه محیطی DMZ (demilitarized zone) را برای محافظت از سرورهای CrushFTP، فعال کنند.
https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/
