CrushFTP نسبت به آسیبپذیری با شناسه CVE-2025-2825 و امتیاز CVSS 9.8، دسترسی غیر مجاز به پورت HTTP(S) هشدار داد و از کاربران خواست تا سرورهای خود را فوراً بهروزرسانی کنند.
با توجه به جزئیات به اشتراک گذاشته شده توسط شرکت امنیت سایبری Rapid7، این نقص امنیتی در صورت فعال نبودن قابلیت DMZ میتواند تحت اکسپلویت قرار گیرد، در واقع اکسپلویت موفقیتآمیز از این آسیبپذیری میتواند منجر به دسترسی غیر مجاز در صورت اتصال سرور به اینترنت از طریق پورت HTTP(S) شود. بدین ترتیب درخواستهای HTTP از راه دور و احراز هویت نشده به CrushFTP ممکن است به نفوذگران اجازه دسترسی غیر مجاز بدهد. نقص مذکور در نسخه CrushFTP v11.3.1+ برطرف شده است و نسخههای CrushFTP 10.0.0 تا 10.8.3 و 11.0.0 تا 11.3.0 را تحت تأثیر قرار میدهد.
https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-unauthenticated-access-flaw-immediately
https://thehackernews.com/2025/03/new-security-flaws-found-in-vmware.html
