10.8.2
11.2.1
CVE-2024-11986 beschrijft een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in CrushFTP. Deze kwetsbaarheid ontstaat door onjuiste inputverwerking in de 'Host Header', waardoor een ongeauthenticeerde aanvaller een schadelijke payload kan opslaan in de web applicatielogs. Het bekijken van deze logs door een Administrator resulteert in de uitvoering van de payload. De kwetsbaarheid treft versies 10.0.0 tot en met 11.2.1, maar is verholpen in versie 11.2.1.
Een succesvolle exploitatie van CVE-2024-11986 stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de CrushFTP-beheerder. Dit kan leiden tot accountovername, datalekken, defacement van de website en verdere compromittering van het systeem. De aanvaller kan bijvoorbeeld cookies stelen, gevoelige informatie achterhalen of de applicatie gebruiken om aanvallen op andere systemen uit te voeren. Omdat de kwetsbaarheid ongeauthenticeerd is, kan een aanvaller de payload injecteren zonder in te loggen op CrushFTP, wat het risico aanzienlijk verhoogt. De impact is vergelijkbaar met andere XSS-kwetsbaarheden, maar de ongeauthenticeerde aard maakt het bijzonder gevaarlijk.
CVE-2024-11986 werd publiekelijk bekendgemaakt op 13 december 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ongeauthenticeerde aard van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De CVSS-score van 9.6 (CRITICAL) duidt op een hoog risico. Het is onwaarschijnlijk dat deze kwetsbaarheid op de CISA KEV-lijst zal verschijnen, tenzij er bewijs van actieve exploitatie opkomt.
Organizations using CrushFTP Server for file transfer and management, particularly those with legacy configurations or shared hosting environments, are at risk. Administrators who routinely access and review CrushFTP server logs are especially vulnerable to exploitation.
• crushftp: Examine CrushFTP server logs for unusual or unexpected JavaScript code.
grep -i 'alert\(' /path/to/crushftp/logs/server.log• crushftp: Check the CrushFTP configuration for improperly sanitized host headers.
Get-ChildItem -Path "HKCU:\Software\CrushFTP\Server" -Recurse | Where-Object {$_.PSProperty -like "*HostHeader*"} | Format-List Name, Value• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the Host header.
grep -i 'alert\(' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.78% (74% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-11986 is het upgraden van CrushFTP naar versie 11.2.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de logbestanden of het implementeren van een Web Application Firewall (WAF) die XSS-aanvallen detecteert en blokkeert. Controleer de CrushFTP-configuratie om te verzekeren dat de 'Host Header' niet onbeperkt kan worden gewijzigd. Na de upgrade, controleer de CrushFTP-logs om te bevestigen dat er geen verdachte activiteiten zijn gedetecteerd.
Werk CrushFTP bij naar versie 10.8.2 of hoger, of naar versie 11.2.1 of hoger, indien van toepassing. Dit corrigeert de Stored XSS-vulnerabiliteit door de invoer van de Host Header correct te saneren voordat deze in de logbestanden wordt geschreven. Raadpleeg de CrushFTP website voor gedetailleerde instructies over de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11986 is a CRITICAL stored Cross-Site Scripting (XSS) vulnerability in CrushFTP Server versions 10.0.0–11.2.1, allowing attackers to inject malicious scripts into server logs.
You are affected if you are running CrushFTP Server versions 10.0.0 through 11.2.1. Upgrade to version 11.2.1 or later to resolve the vulnerability.
The recommended fix is to upgrade CrushFTP Server to version 11.2.1 or later. As a temporary workaround, restrict log file access and implement input validation.
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity suggests a high probability of exploitation.
Refer to the official CrushFTP security advisory for detailed information and updates: [https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories](https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.