Stored XSS em CrushFTP
Plataforma
crushftp
Componente
crushftp
Corrigido em
10.8.2
11.2.1
A vulnerabilidade CVE-2024-11986 é uma falha de Cross-Site Scripting (XSS) presente nas versões 10.0.0 até 11.2.1 do CrushFTP. Um atacante não autenticado pode armazenar um payload malicioso no cabeçalho do host, que é então executado quando um administrador visualiza os logs da aplicação. A correção foi disponibilizada na versão 11.2.1.
Impacto e Cenários de Ataque
Esta vulnerabilidade permite que um atacante execute scripts maliciosos no navegador de um administrador do CrushFTP. O atacante pode explorar essa falha para roubar cookies de sessão, redirecionar o administrador para sites maliciosos, ou até mesmo assumir o controle da conta de administrador. O impacto é significativo, pois a execução de código no contexto de um administrador pode permitir o acesso não autorizado a dados confidenciais e o controle total do servidor CrushFTP. A exploração bem-sucedida pode levar à exfiltração de dados, modificação de configurações e comprometimento da infraestrutura.
Contexto de Exploração
A vulnerabilidade foi divulgada em 13 de dezembro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. A vulnerabilidade foi classificada como crítica devido ao seu alto CVSS score e ao potencial de impacto significativo.
Quem Está em Riscotraduzindo…
Organizations using CrushFTP Server for file transfer and management, particularly those with legacy configurations or shared hosting environments, are at risk. Administrators who routinely access and review CrushFTP server logs are especially vulnerable to exploitation.
Passos de Detecçãotraduzindo…
• crushftp: Examine CrushFTP server logs for unusual or unexpected JavaScript code.
grep -i 'alert\(' /path/to/crushftp/logs/server.log• crushftp: Check the CrushFTP configuration for improperly sanitized host headers.
Get-ChildItem -Path "HKCU:\Software\CrushFTP\Server" -Recurse | Where-Object {$_.PSProperty -like "*HostHeader*"} | Format-List Name, Value• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the Host header.
grep -i 'alert\(' /var/log/apache2/access.logLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.78% (percentil 74%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o CrushFTP para a versão 11.2.1 ou superior, que corrige a vulnerabilidade. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso aos logs da aplicação apenas a usuários autorizados e monitorar os logs em busca de atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS também pode ajudar a mitigar o risco. Verifique se a configuração do CrushFTP não permite o armazenamento de dados sensíveis no cabeçalho do host.
Como corrigir
Atualize CrushFTP para a versão 10.8.2 ou superior, ou para a versão 11.2.1 ou superior, conforme apropriado. Isso corrigirá a vulnerabilidade XSS armazenada ao higienizar corretamente a entrada do cabeçalho Host antes de escrevê-la nos registros. Consulte o site da CrushFTP para obter instruções detalhadas sobre a atualização.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2024-11986 — XSS in CrushFTP Server?
CVE-2024-11986 is a CRITICAL stored Cross-Site Scripting (XSS) vulnerability in CrushFTP Server versions 10.0.0–11.2.1, allowing attackers to inject malicious scripts into server logs.
Am I affected by CVE-2024-11986 in CrushFTP Server?
You are affected if you are running CrushFTP Server versions 10.0.0 through 11.2.1. Upgrade to version 11.2.1 or later to resolve the vulnerability.
How do I fix CVE-2024-11986 in CrushFTP Server?
The recommended fix is to upgrade CrushFTP Server to version 11.2.1 or later. As a temporary workaround, restrict log file access and implement input validation.
Is CVE-2024-11986 being actively exploited?
While no active exploitation campaigns have been publicly confirmed, the CRITICAL severity suggests a high probability of exploitation.
Where can I find the official CrushFTP advisory for CVE-2024-11986?
Refer to the official CrushFTP security advisory for detailed information and updates: [https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories](https://knowledgebase.crushftp.com/display/CRFTS/Security+Advisories)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.