CVE-2024-4040 CrushFTP RCE漏洞分析

文章预览

概述 2024年4月19日，星期五，托管文件传输供应商CrushFTP在其私人邮件列表上发布了信息，涉及影响所有平台的CrushFTP版本低于10.7.1和11.1.0（以及遗留的9.x版本）的新零日漏洞。在披露时，供应商没有分配CVE，但第三方CVE编号机构（CNA）在4月22日星期一分配了CVE-2024-4040。 在CrushFTP版本11.1.0（已修复版本）的发布说明中，CVE-2024-4040被描述为“经过身份验证的会话”的问题。 Rapid7对这一漏洞的分析发现CVE-2024-4040是 完全未经身份验证 的，并且易于武器化。尽管这个漏洞被称为任意文件读取，但我认为它最适合分类为服务器端模板注入（SSTI）（ 注意： 漏洞描述已经更新为以SSTI作为根本原因，截至4月24日）。执行未经身份验证的HTTPS请求到CrushFTP Web界面与SSTI有效载荷，导致以root用户身份进行任意文件读取，绕过管理员帐户访问的认证，以及窃取存储在 ………………………………