CVE-2025-54309

plus petit que 1 minute de lecture

Mis à jour : August 29, 2025

Accès Administrateur Non Authentifié dans CrushFTP via AS2

Une faille de sécurité, identifiée comme CVE-2025-54309, affecte les versions de CrushFTP antérieures aux versions 10.8.5 et 11.3.4_23. Le problème survient lors de la gestion du protocole AS2 sur HTTPS, particulièrement lorsque la fonctionnalité de proxy DMZ n’est pas activée.

Points Clés :

La vulnérabilité permet à des attaquants distants non authentifiés d’obtenir un accès de niveau administrateur.
Elle résulte d’une validation inadéquate des requêtes du protocole AS2 sur HTTPS.
Les attaquants peuvent exploiter cette faiblesse pour contourner les mécanismes d’authentification.

Vulnérabilités :

CVE-2025-54309 : Permet l’élévation de privilèges et l’exécution de commandes arbitraires via la manipulation du protocole AS2 sur HTTPS.

Recommandations :

Il est vivement conseillé de mettre à jour CrushFTP vers les versions 10.8.5 ou 11.3.4_23, ou des versions ultérieures.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-54309

Accès Administrateur Non Authentifié dans CrushFTP via AS2

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast