CrushFTP

L’article de BleepingComputer met en lumière une vulnérabilité zero-day critique, identifiée sous le code CVE-2025-54309, dans le logiciel CrushFTP. Cette faille permet aux attaquants de prendre le contrôle administratif des serveurs vulnérables via l’interface web. Cette situation est particulièrement préoccupante car elle permettrait à des individus malveillants d’exploiter les serveurs pour diverses activités malveillantes. CrushFTP a émis un avertissement concernant cette vulnérabilité, soulignant que des acteurs malveillants l’exploitent déjà activement. Les administrateurs utilisant ce logiciel sont encouragés à prendre des mesures immédiates pour protéger leurs systèmes. ...

Selon un article publié le 18 juillet 2025, une vulnérabilité zero-day critique identifiée comme CVE-2025-54309 a été découverte dans le logiciel CrushFTP. Cette faille, avec un score CVSS de 9.0, est actuellement exploitée par des acteurs malveillants et permet à des attaquants distants et non authentifiés d’obtenir un accès administratif via une vulnérabilité de canal alternatif non protégé affectant la validation du protocole AS2. CrushFTP a rapidement réagi en publiant des correctifs pour les versions affectées. Les utilisateurs doivent mettre à jour vers les versions 10.8.5 ou 11.3.4_23 pour atténuer cette menace. Les versions affectées incluent CrushFTP 10.8.4 et antérieures, ainsi que 11.3.4_22 et antérieures. ...