Plateforme
crushftp
Composant
crushftp
Corrigé dans
10.8.2
11.2.1
La vulnérabilité CVE-2024-11986 est une faille de Cross-Site Scripting (XSS) stockée affectant CrushFTP. Elle est due à une manipulation incorrecte de l'en-tête d'hôte, permettant à un attaquant non authentifié d'injecter une charge utile dans les logs de l'application web. L'exécution de cette charge utile est possible lorsque l'administrateur consulte les logs via les fonctionnalités standard de l'application, impactant les versions 10.0.0 à 11.2.1. Une correction est disponible dans la version 11.2.1.
Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code JavaScript arbitraire dans le contexte du navigateur d'un utilisateur, potentiellement un administrateur. L'attaquant peut ainsi voler des cookies de session, rediriger l'utilisateur vers un site malveillant, ou modifier le contenu de la page web affichée. L'impact est significatif car l'attaquant peut compromettre le compte administrateur et accéder à des données sensibles stockées dans CrushFTP, telles que des fichiers transférés et des informations de configuration. Une exploitation réussie pourrait permettre un accès non autorisé au système sous-jacent et une compromission plus large du réseau.
Cette vulnérabilité a été rendue publique le 13 décembre 2024. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la nature critique de la vulnérabilité et la facilité d'exploitation potentielle la rendent susceptible d'être exploitée. Il est conseillé de prendre des mesures de mitigation rapidement. Aucune entrée n'est présente dans le KEV (Known Exploited Vulnerabilities) à la date d'aujourd'hui.
Organizations using CrushFTP Server for file transfer and management, particularly those with legacy configurations or shared hosting environments, are at risk. Administrators who routinely access and review CrushFTP server logs are especially vulnerable to exploitation.
• crushftp: Examine CrushFTP server logs for unusual or unexpected JavaScript code.
grep -i 'alert\(' /path/to/crushftp/logs/server.log• crushftp: Check the CrushFTP configuration for improperly sanitized host headers.
Get-ChildItem -Path "HKCU:\Software\CrushFTP\Server" -Recurse | Where-Object {$_.PSProperty -like "*HostHeader*"} | Format-List Name, Value• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the Host header.
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.78% (percentile 74%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour CrushFTP vers la version 11.2.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver la journalisation de l'en-tête d'hôte ou de mettre en place un filtre WAF (Web Application Firewall) pour bloquer les requêtes contenant des charges utiles potentiellement malveillantes. Surveillez attentivement les logs de CrushFTP pour détecter toute activité suspecte. En cas de suspicion d'exploitation, isolez immédiatement le système affecté et effectuez une analyse de sécurité approfondie.
Mettez à jour CrushFTP à la version 10.8.2 ou supérieure, ou à la version 11.2.1 ou supérieure, selon le cas. Cela corrigera la vulnérabilité XSS stockée en nettoyant correctement l'entrée du Host Header avant de l'écrire dans les journaux. Consultez le site web de CrushFTP pour obtenir des instructions détaillées sur la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-11986 is a CRITICAL stored Cross-Site Scripting (XSS) vulnerability in CrushFTP Server versions 10.0.0–11.2.1, allowing attackers to inject malicious scripts into server logs.
You are affected if you are running CrushFTP Server versions 10.0.0 through 11.2.1. Upgrade to version 11.2.1 or later to resolve the vulnerability.
The recommended fix is to upgrade CrushFTP Server to version 11.2.1 or later. As a temporary workaround, restrict log file access and implement input validation.
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity suggests a high probability of exploitation.
Refer to the official CrushFTP security advisory for detailed information and updates: [https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories](https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.