FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

CrushFTP是一款功能强大、易于使用、支持多种协议的跨平台文件传输服务器软件，提供安全可靠的文件传输服务及丰富管理功能。

漏洞类型：代码执行

影响：植入恶意脚本

简述：CrushFTP存在远程代码执行漏洞，攻击者可通过HTTP(S)请求获取管理权限并植入恶意脚本，进而执行创建异常随机管理员账户、篡改版本号显示以及隐藏界面按钮等操作。

影响版本：

• CrushFTP 10.x < 10.8.5
• CrushFTP 11.x < 11.3.4_23

POC状态：已公开

修复建议：目前官方已发布漏洞修复版本，建议用户升级到安全版本。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）