CrushFTP: PoC pubblico per lo sfruttamento delle CVE-2025-32102 e CVE-2025-32103 (AL01/250415/CSIRT-ITA)

Data:
15 Aprile 2025 15:32

Impatto Sistemico

Alto (67.69)

Sintesi

Disponibile un Proof of Concept (PoC) per le CVE-2025-32102 e CVE-2025-32103 – già sanate dal vendor – presente in CrushFTP server proprietario multiprotocollo e multipiattaforma per il trasferimento file.

Tale vulnerabilità potrebbe permettere ad un utente malevolo l’esecuzione di codice da remoto

Tipologia

Remote Code Execution

Prodotti e versioni affette

CrushFTP da 9.x alla 10.8.4
CrushFTP da 11.x alla 11.3.1

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti interessati seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti

Riferimenti

https://www.crushftp.com/download.html

CVE

CVE-ID
CVE-2025-32102	CVE-2025-32103

Change log

Versione	Note	Data
1.0	Pubblicato il 15-04-2025	15/04/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

CSIRT Toscana

CSIRT Toscana