{"id":313688,"date":"2025-07-19T09:03:26","date_gmt":"2025-07-19T07:03:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313688"},"modified":"2025-07-19T15:18:03","modified_gmt":"2025-07-19T13:18:03","slug":"crushftp-mit-0-day-schwachstelle-cve-2025-54309","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/19\/crushftp-mit-0-day-schwachstelle-cve-2025-54309\/","title":{"rendered":"CrushFTP mit 0-Day-Schwachstelle CVE-2025-54309"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Jemand aus der Blog-Leserschaft, der das Programm CrushFTP zum Dateitransfer verwendet? Inzwischen haben sich mehrere Leser gemeldet (danke daf\u00fcr), dass es Meldungen \u00fcber eine 0-Day-Schwachstelle (CVE-2025-54309)\u00a0gibt, die wohl auch schon ausgenutzt wird.
\n<\/p>\n

Was ist CrushFTP?<\/h2>\n

\"\"CrushFTP ist ein urspr\u00fcnglich 1999 entwickeltes(r) propriet\u00e4rer Multiprotokoll- und Multiplattform-Datei\u00fcbertragungsserver<\/a>, der als Shareware mit einem abgestuften Preismodell angeboten wird.<\/a> Das Produkt richtet sich an Heimanwender bis hin zu Unternehmensanwendern. Der Hersteller bewirbt<\/a> das Produkt als \"Enterprise grade File-Transfer\"-L\u00f6sung, die ist eine extrem leistungsf\u00e4hige, einfach zu bedienende L\u00f6sung, die auf fast allem l\u00e4uft: macOS 10.9+\/11\/12+, Win2012+, Linux, Solaris, BSD, Unix, etc! Es werden auch Clients als Apps f\u00fcr Android und iOS angeboten.<\/p>\n

CrushFTP unterst\u00fctzt die Protokolle FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV und WebDAV SSL. Dar\u00fcber hinaus verf\u00fcgt es \u00fcber AJAX\/HTML5- und Java-Applet-Webschnittstellen, \u00fcber die Endbenutzer ihre Dateien \u00fcber einen Webbrowser verwalten k\u00f6nnen.<\/p>\n

CrushFTP verwendet eine grafische Benutzeroberfl\u00e4che f\u00fcr die Verwaltung, l\u00e4sst sich aber auch als Daemon unter Mac OS X, Linux, Unix und als Dienst unter Windows installieren.<\/p>\n

CrushFTP unterst\u00fctzt Multihoming, mehrere Websites mit unterschiedlichem Branding, Konfigurations\u00e4nderungen im laufenden Betrieb, Umleitung von Anh\u00e4ngen und GUI-basierte Verwaltung von Benutzern und Gruppen \u00fcber einen Browser. Es sind Plugins f\u00fcr die Authentifizierung gegen\u00fcber SQL-Datenbanken, LDAP, Active Directory und anderen benutzerdefinierten Methoden enthalten. Alle Einstellungen werden in XML-Dateien gespeichert, die direkt oder \u00fcber die Web-UI bearbeitet werden k\u00f6nnen. Bei direkter Bearbeitung bemerkt CrushFTP die \u00c4nderung des Zeitstempels und l\u00e4dt die Einstellungen sofort, ohne dass ein Serverneustart erforderlich ist.<\/p>\n

0-Day-Schwachstelle\u00a0CVE-2025-54309\u00a0in der Software<\/h2>\n

Blog-Leser Joshua hatte sich gestern per Mail gemeldet und schrieb unter dem Betreff CrushFTP 0-day exploit in the wild:<\/em> \"Wir selber setzen CrushFTP ebenfalls zur Bereitstellung verschiedener Dienste ein, in der Vergangenheit gab es bereits mehrfach Sicherheitsl\u00fccken, aber das Produkt ist in dem Funktionsumfang quasi konkurrenzlos, da es weit \u00fcber einen normalen FTP Server hinausgeht und zahlreiche Protokolle unterst\u00fctzt.<\/em>\" Ich war aber Freitag weitgehend offline.\u00a0Blog-Leser Dennis F. hat sich am sp\u00e4ten Nachmittag des 18. Juli 2025 (quasi eine Minute vor Joshua, danke an beide) bei mir per Mail gemeldet und schrieb: \"vor 5 Minuten hat uns diese E-Mail erreicht\":<\/p>\n

There is a 0 day exploit being used against CrushFTP servers. Its critical if you have not been updating recently to update immediately.<\/p>\n

10.8.5+ does not have this bug if you were updated as far as we can tell.<\/p>\n

11.3.4_23+ does not have this bug as far as we can tell.<\/p><\/blockquote>\n

Der Hersteller schreibt in seiner Mail, dass man weitere Informationen im Wiki ver\u00f6ffentlicht<\/a>, sobald er mehr erfahren und herausgefunden hat, was hier vor sich geht.<\/p>\n

Auf der Seite zur Schwachstelle schreibt der Anbieter, dass Hacker offenbar den CrushFTP-Code per Reverse-Engineering analysiert und einen Fehler gefunden haben. Der Hersteller glaubt, dass diese Schwachstelle bereits in neueren Software-Versionen behoben ist und nur \u00e4ltere Software in Versionen, die\u00a0vor dem 1. Juli 2025 ver\u00f6ffentlicht wurde, vorhanden war.<\/p>\n

Der Angriffsvektor bestand in HTTP(S)-Verbindungen, \u00fcber den der Server angreifbar war. Die Entwickler haben vermutlich Anfang Juli 2025 ein anderes Problem im Zusammenhang mit AS2 in HTTP(S) behoben-\u00c4nderung bemerkt, den Code analysiert und einen Exploit f\u00fcr die Schwachstelle entwickelt.\u00a0 Betroffen sind folgende CrushFTP-Versionen:<\/p>\n