Impatto Sistemico

Alto (66.41)

Sintesi

Rilevata vulnerabilità con gravità “critica” in CrushFTP, software per il trasferimento file multi-protocollo e multi-piattaforma.

Tipologia

• Authentication Bypass
• Information Disclosure

Descrizione e potenziali impatti

È stata identificata una vulnerabilità critica in CrushFTP che potrebbe permettere l’accesso non autenticato ai server non aggiornati esposti a internet in ascolto sulle porte HTTP e HTTPS.

Nel dettaglio, i produttori di CrushFTP hanno inviato una comunicazione via email informando i clienti della vulnerabilità e raccomandando un aggiornamento immediato alla versione 11.3.1 o successiva.

Figura 1-Email

Si evidenzia che tale vulnerabilità non risulterebbe sfruttabile qualora la funzione DMZ di CrushFTP sia attiva.

Prodotti e/o versioni affette

CrushFTP

• 11, versioni precedenti alla 11.3.1
• 10, versioni precedenti alla 10.8.4

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.