[English]CrushFTP ist ein proprietärer Dateiübertragungsserver mit mehreren Protokollen und Plattformen (macOS, Linux, Windows), der als Shareware mit einem gestaffelten Preismodell. Es richtet sich an Heimanwender bis hin zu Unternehmensanwendern. Zum 19. April 2024 hat der Anbieter eine Sicherheitswarnung veröffentlicht, dass ist der Software eine kritische Schwachstelle (CVE-2024-4040) entdeckt wurde, die von Angreifern ausgenutzt wird.
Anzeige
In einer Sicherheitswarnung vom 19. April 2024 heißt es, dass CrushFTP v11-Versionen unter 11.1 eine Sicherheitslücke aufweisen. Über die als kritisch eingestufte Schwachstelle (CVE-2024-4040) können Benutzer ihr VFS (Apache Virtual File System) umgehen und Systemdateien herunterladen. Das ist natürlich ein lukratives Angriffsziel für Hacker, die Dateien aus dem VFS herunterladen könnten.
Diese Schwachstelle wurde in Version 11.1.0 behoben. Kunden, die eine DMZ vor ihrer Hauptinstanz von CrushFTP verwenden, sind durch das verwendete Protokollübersetzungssystem teilweise geschützt. Eine DMZ schützt jedoch nicht vollständig und Nutzer müssen, laut Anbieter, sofort ein Update durchführen, um wieder sicher zu sein.
Das Unternehmen warnte Kunden per E-Mail, dass die Schwachstelle in freier Wildbahn ausgenutzt wird, wie die Kollegen von Bleeping Computer hier schreiben. Kunden mit Servern, auf denen noch CrushFTP v9 läuft, sollen unverzüglich auf v11 zu aktualisieren oder ihre Instanz über das Dashboard updaten, um wieder geschützt zu sein, heißt es.
Anzeige
