流行的文件传输软件CrushFTP中存在一个严重的零日漏洞，允许攻击者下载敏感的系统文件。这使数百万用户面临风险 - 立即安装补丁！

文件传输用户请注意！最近在流行的企业文件传输软件解决方案CrushFTP中发现的零日漏洞让安全研究人员手忙脚乱。这一严重漏洞可能允许攻击者下载敏感系统文件，从而可能危及全球数百万用户的安全。

CrushFTP是一种广泛使用的软件程序，可实现计算机和服务器之间的安全文件传输，提供FTP、SFTP、FTPS、WebDAV等功能。然而，最近发现的零日漏洞引发了人们对未经授权的访问和数据泄露的可能性的担忧，使得使用它进行数据交换的企业/组织容易受到攻击。

该漏洞(CVE-2024-4040)由空中客车CERT的Simon Garrelou发现，允许攻击者绕过软件的虚拟文件系统(VFS)限制并下载通常禁止访问的系统文件。这种未经授权的访问可能会导致敏感数据被盗、恶意软件安装以及文件传输操作中断或服务器无法运行。

受影响用户的确切数量尚不清楚，但CrushFTP拥有跨行业的庞大用户群。各种规模的组织，从小型企业到大型企业，如果没有应用最新的安全补丁，都可能面临风险，详细信息可以在CrushFTP的公告中找到。

“低于11.1的CrushFTP v11版本存在一个漏洞，用户可以逃避其VFS并下载系统文件。该问题已在v11.1.0中修复，”公告中写道。

必须注意的是，在非军事区(DMZ)内运行CrushFTP实例的客户不会受到攻击。该缺陷尚未收到CVE标识符。

网络安全公司CrowdStrike报告了针对美国实体的CrushFTP零日漏洞的利用，该公司认为这是出于政治动机的情报收集活动。

然而，CrushFTP的创始人Ben Spink声称，该公司尚未收到任何用户投诉，而该漏洞在发现后数小时内就得到了修补。

要将CrushFTP更新到最新版本v11.1.0，请登录仪表板，单击“关于”选项卡，然后单击“更新”>“立即更新”。等待5分钟以下载、解压缩和复制文件，然后自动重新启动CrushFTP。