CVE-2025-31161

Nome do Software Vulnerável e Versões Afetadas CrushFTP versões 10.0.0 até 10.8.3 CrushFTP versões 11.0.0 até 11.3.0

Descrição Existe um bypass de autenticação no componente HTTP do servidor FTP, especificamente no método de autorização AWS4-HMAC (compatível com S3). O problema decorre de uma condição de corrida (race condition) onde o servidor verifica a existência do usuário através da função login user pass() sem exigir senha, o que pode autenticar uma sessão antes que a verificação do usuário seja checada novamente. Isso pode ser estabilizado enviando um cabeçalho AWS4-HMAC manipulado contendo apenas o nome de usuário e uma barra (/); isso ativa um processo de autenticação anypass, mas causa um erro de índice fora dos limites (index-out-of-bounds) quando o servidor não encontra a entrada SignedHeaders, impedindo a limpeza da sessão. Essas falhas permitem que invasores remotos se autentiquem como qualquer usuário conhecido ou previsível, como o crushadmin, levando ao comprometimento total do sistema e acesso administrativo. O problema tem sido explorado ativamente desde 30 de março de 2025, afetando setores como varejo, marketing e semicondutores, com aproximadamente 130.000 instâncias estimadas como expostas online. Ataques observados envolveram a criação de contas administrativas de backdoor usando a função setUserItem e a implantação de malwares como MeshCentral, AnyDesk e DLLs vinculadas ao Telegram para persistência.

Recomendações Atualizar o CrushFTP versão 10 para 10.8.4. Atualizar o CrushFTP versão 11 para 11.3.1. Utilizar uma instância de proxy DMZ como um buffer temporário para mitigar o risco de bypass de autenticação.