Selon un article publié le 18 juillet 2025, une vulnérabilité zero-day critique identifiée comme CVE-2025-54309 a été découverte dans le logiciel CrushFTP. Cette faille, avec un score CVSS de 9.0, est actuellement exploitée par des acteurs malveillants et permet à des attaquants distants et non authentifiés d’obtenir un accès administratif via une vulnérabilité de canal alternatif non protégé affectant la validation du protocole AS2.
CrushFTP a rapidement réagi en publiant des correctifs pour les versions affectées. Les utilisateurs doivent mettre à jour vers les versions 10.8.5 ou 11.3.4_23 pour atténuer cette menace. Les versions affectées incluent CrushFTP 10.8.4 et antérieures, ainsi que 11.3.4_22 et antérieures.
La vulnérabilité résulte d’une mauvaise gestion de la validation dans le protocole AS2, utilisé pour le transport de données critiques. Les attaquants ont apparemment découvert cette faille par ingénierie inverse des correctifs récents.
Cet article souligne l’importance de la gestion des correctifs et de la mise à jour des systèmes pour se protéger contre les exploitations actives. Il s’agit d’une alerte de sécurité visant à informer les organisations des risques et des mesures à prendre pour sécuriser leurs systèmes.
🔗 Source originale : https://www.tenable.com/blog/cve-2025-54309-crushftp-zero-day-vulnerability-exploited-in-the-wild