CVE-2025-54309
Mis à jour :
Accès administratif non authentifié via la vulnérabilité AS2 dans CrushFTP
Une faille de sécurité, identifiée comme CVE-2025-54309, a été découverte dans les versions de CrushFTP antérieures à 10.8.5 et 11.3.4_23. Cette vulnérabilité découle d’une validation insuffisante du protocole AS2 (Applicability Statement 2) utilisé via HTTPS, spécifiquement lorsque la fonctionnalité de proxy DMZ n’est pas activée.
Les attaquants non authentifiés à distance peuvent exploiter cette faiblesse pour obtenir un accès administratif au système. Le serveur n’arrive pas à valider correctement les requêtes distantes adressées aux points d’accès AS2. Ceci permet aux attaquants de falsifier des requêtes, les faisant apparaître comme provenant d’une source fiable et contournant ainsi les mécanismes d’authentification. En envoyant des requêtes AS2 malveillantes via HTTPS vers les points d’accès CrushFTP exposés, les attaquants peuvent soumettre des commandes administratives et potentiellement élever leurs privilèges pour exécuter des commandes arbitraires.
Points clés :
- Vulnérabilité : CVE-2025-54309
- Logiciel affecté : CrushFTP versions avant 10.8.5 et 11.3.4_23.
- Cause : Validation incorrecte du protocole AS2 sur HTTPS lorsque le proxy DMZ n’est pas utilisé.
- Impact : Accès administratif non authentifié, possibilité d’escalade de privilèges et d’exécution de commandes arbitraires.
Recommandations :
- Mettre à jour CrushFTP vers la version 10.8.5 ou 11.3.4_23 ou une version ultérieure.
- Si la mise à jour n’est pas immédiatement possible, il est recommandé d’utiliser la fonctionnalité de proxy DMZ pour atténuer le risque.