Plataforma
crushftp
Componente
crushftp
Corregido en
10.8.2
11.2.1
La vulnerabilidad CVE-2024-11986 es una falla de Cross-Site Scripting (XSS) almacenado en CrushFTP. Esta falla permite a un atacante no autenticado inyectar código malicioso en los registros de la aplicación a través de la manipulación del encabezado de host. Cuando un administrador visualiza estos registros, el código inyectado se ejecuta, comprometiendo potencialmente la seguridad del sistema. La vulnerabilidad afecta a las versiones de CrushFTP desde 10.0.0 hasta 11.2.1, y se recomienda actualizar a la versión 11.2.1 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un administrador de CrushFTP. Esto podría permitir al atacante robar cookies de sesión, redirigir al administrador a sitios web maliciosos, o incluso tomar el control completo de la aplicación. La inyección de código malicioso en los logs de la aplicación facilita la ejecución del ataque, ya que los administradores revisan regularmente estos registros para fines de auditoría y solución de problemas. El impacto se amplifica si la cuenta de administrador comprometida tiene permisos elevados, lo que podría permitir al atacante acceder a datos confidenciales o realizar cambios en la configuración del sistema.
La vulnerabilidad fue publicada el 13 de diciembre de 2024. Actualmente no se dispone de información sobre campañas de explotación activas, pero la naturaleza de XSS almacenado la convierte en un objetivo atractivo para atacantes. La alta puntuación CVSS (9.6) indica un riesgo significativo. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations using CrushFTP Server for file transfer and management, particularly those with legacy configurations or shared hosting environments, are at risk. Administrators who routinely access and review CrushFTP server logs are especially vulnerable to exploitation.
• crushftp: Examine CrushFTP server logs for unusual or unexpected JavaScript code.
grep -i 'alert\(' /path/to/crushftp/logs/server.log• crushftp: Check the CrushFTP configuration for improperly sanitized host headers.
Get-ChildItem -Path "HKCU:\Software\CrushFTP\Server" -Recurse | Where-Object {$_.PSProperty -like "*HostHeader*"} | Format-List Name, Value• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the Host header.
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.78% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-11986 es actualizar CrushFTP a la versión 11.2.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Limitar el acceso a los registros de la aplicación solo a usuarios autorizados puede reducir el riesgo de explotación. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en el encabezado de host. Monitorear los registros de la aplicación en busca de patrones inusuales o intentos de inyección de código también puede ayudar a detectar y prevenir ataques.
Actualice CrushFTP a la versión 10.8.2 o superior, o a la versión 11.2.1 o superior, según corresponda. Esto corregirá la vulnerabilidad XSS almacenada al sanear correctamente la entrada del encabezado (header) Host antes de escribirla en los registros. Consulte el sitio web de CrushFTP para obtener instrucciones detalladas sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11986 is a CRITICAL stored Cross-Site Scripting (XSS) vulnerability in CrushFTP Server versions 10.0.0–11.2.1, allowing attackers to inject malicious scripts into server logs.
You are affected if you are running CrushFTP Server versions 10.0.0 through 11.2.1. Upgrade to version 11.2.1 or later to resolve the vulnerability.
The recommended fix is to upgrade CrushFTP Server to version 11.2.1 or later. As a temporary workaround, restrict log file access and implement input validation.
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity suggests a high probability of exploitation.
Refer to the official CrushFTP security advisory for detailed information and updates: [https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories](https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.