PoC Exploit Released for CrushFTP 0-day Vulnerability (CVE-2025-54309)
2025/08/27 CyberSecurityNews — CrushFTP ファイル転送サーバに影響を及ぼす、深刻な認証バイパスの脆弱性 CVE-2025-54309 を標的とする PoC エクスプロイトが公開された。この脆弱性を悪用するリモート攻撃者は、AS2 検証処理における競合状態を介して管理者権限を取得し、認証メカニズムを完全に回避できる。
Continue reading “CrushFTP の脆弱性 CVE-2025-54309:新たな PoC エクスプロイトが公開”CrushFTP Hit by Critical 0-Day RCE Vulnerability – Full Technical Details and PoC Published
2025/07/31 gbhackers — 人気のファイル転送サーバ・ソリューション CrushFTP に、深刻なゼロデイ脆弱性が存在することを、セキュリティ研究者たちが明らかにした。この脆弱性を悪用する攻撃者は、認証を必要とせずに、影響を受けるシステム上で任意でのコマンド実行の可能性を得る。この脆弱性 CVE-2025-54309 (CVSS:9.8) は、脆弱な CrushFTP システムを使用する組織にとって、差し迫った脅威となっている。
Continue reading “CrushFTP の深刻なゼロデイ CVE-2025-54309 が FIX:シンプルな攻撃経路と PoC の登場”New CrushFTP 0-Day Vulnerability Exploited in the Wild to Gain Access to Servers
2025/07/19 CyberSecurityNews — CrushFTP ファイル転送プラットフォームに存在する、深刻なゼロデイ脆弱性 CVE-2025-54309 の詳細が公表された。その背景にあるのは、2025年7月18日午前9時 (CST) 以降において、ベンダーやアナリストたちが確認した、この脆弱性の活発な悪用である。この脆弱性 CVE-2025-54309 の悪用に成功した未承認の攻撃者は、HTTPS 経由で脆弱なサーバを侵害し、その管理権限を完全に奪うという。すでに CrushFTP は、7月1日頃にリリースしたビルドにより、この問題を修正している。しかし、アップデートが遅れている数千の組織は、依然として潜在的な攻撃対象となっている。
Continue reading “CrushFTP のゼロデイ CVE-2025-54309 が FIX:未パッチ環境を狙う攻撃が急増”CrushFTP Hit by SSRF and Directory Traversal Vulnerabilities (CVE-2025-32102 & CVE-2025-32103)
2025/04/15 SecurityOnline — 人気のファイル転送サーバ CrushFTP は、2件の深刻なセキュリティ脆弱性が発見されたことを受け、厳しい監視に直面している。CVE-2025-32102 と CVE-2025-32103 として特定された脆弱性は、それぞれが、サーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃と、ディレクトリ・トラバーサル攻撃の脅威になり得る。
Continue reading “CrushFTP の脆弱性 CVE-2025-32102/32103 が FIX:SSRF/D Traversal の可能性”CISA Warns of CrushFTP Vulnerability Exploitation in the Wild
2025/04/08 InfoSecurity — 米国のサイバーセキュリティ最高機関である CISA は、ファイル転送ソリューションの CrushFTP に存在する重大な脆弱性が、実際に悪用されていることを明らかにした。CVE-2025-31161 として追跡されている、この認証バイパスの脆弱性は、2025年4月7日付で CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。
Continue reading “CISA KEV 警告 25/04/07:CrushFTP の脆弱性 CVE-2025-31161/2825 を登録”CrushFTP Hacked: Exploit CVE-2025-2825 with PoC and Nuclei Template
2025/03/31 SecurityOnline — エンタープライズで広く利用されるファイル転送サーバ CrushFTP に存在する、深刻な認証バイパスの脆弱性である CVE-2025-2825 (CVE-2025-31161) の技術的な詳細を、ProjectDiscovery が公開した。この脆弱性が影響を及ぼす範囲は、バージョン 10.0.0 〜 10.8.3/11.0.0 〜 11.3.0 であり、未認証の攻撃者に対して、サーバへの完全なアクセスを許すものとなる。すべての問題は、S3 スタイルの認証メカニズムにおける不適切な処理によるものだ。
Continue reading “CrushFTP の脆弱性 CVE-2025-2825/CVE-2025-31161 への対策:核心を突く PoC を解説”CVE-2025-2825: Critical Vulnerability in CrushFTP Exposes Servers to Unauthenticated Access Risk
2025/03/27 SecurityOnline — CrushFTP のバージョン 10/11 に影響を及ぼす、深刻度の高い脆弱性に対するパッチが適用され、管理者たちには速やかな対応が求められている。一般企業/政府機関/ホスティング・プロバイダーなどで多用される、安全なファイル転送プラットフォーム CrushFTP に、新たな脆弱性が発見された。この脆弱性 CVE-2025-2825 (CVSS:9.8) を悪用する未認証の攻撃者は、特別に細工された HTTP リクエストを介して、リモート・アクセスの可能性を手にする。
Continue reading “CrushFTP の脆弱性 CVE-2025-2825/CVE-2025-31161 が FIX:機密データや管理機能への不正アクセス”CrushFTP Warns of HTTP(S) Port Vulnerability Enabling Unauthorized Access
2025/03/26 gbhackers — 人気のファイル転送テクノロジーである CrushFTP と、Web アプリ構築で広く使用される React フレームワークである Next.js だが、どちらも深刻な脆弱性について精査されるという状況にある。これらの問題に注目する Rapid7 は、データ・セキュリティと不正アクセスに関する潜在的な影響を強調している。
Continue reading “CrushFTP の HTTP(S) Port の脆弱性 CVE-2025-2825 が FIX:現時点で悪用の報告は無し”CVE-2024-53552 (CVSS 9.8): CrushFTP Flaw Exposes Users to Account Takeover
2024/12/23 SecurityOnline — 堅牢な機能と使いやすさで人気を誇る、ファイル転送サーバ CrushFTP が発行したのは、アカウントの乗っ取りにつながる可能性のある、深刻な脆弱性に対する緊急のセキュリティ・アドバイザリである。この脆弱性 CVE-2024-53552 (CVSS:9.8) は、CrushFTP バージョン 10.8.3 未満/11.2.3 未満に影響を及ぼす。
Continue reading “CrushFTP の脆弱性 CVE-2024-53552 (CVSS 9.8) が FIX:アカウント乗っ取りに至る?”Over 1,400 CrushFTP Internet-Facing Servers Vulnerable To Cve-2024-4040 Bug
2024/04/26 SecurityAffairs — 1,400台以上の CrushFTP インターネット接続サーバが、深刻な脆弱性 CVE-2024-4040 を狙う攻撃に対して脆弱であることが判明した。CrushFTP に存在する、VFS サンドボックス・エスケープの脆弱性 CVE-2024-4040 は、Airbus CERT の Simon Garrelou により発見されたものだ。
Continue reading “CrushFTP の脆弱性 CVE-2024-4040:1,400 台以上のサーバが危険に晒されている”CISA Added Critical Vulnerabilities in Cisco Products and CrushFTP to KEV
2024/04/24 SecurityOnline — 米国の Cybersecurity Infrastructure Security Agency (CISA) が連邦政府機関に対して発動したのは、Cisco 製品で発見された2件深刻な脆弱性と、ファイル転送ツール CrushFTP の脆弱性に対して、最優先でパッチを適用すべきという警告である。これらの問題の緊急性は、国家の支援を受けたハッカーによる積極的な悪用に起因しており、脅威の状況の深刻さを強調している。
Continue reading “CISA KEV 警告 24/04/24:Cisco と CrushFTP の深刻な脆弱性に 5月1日までに対処せよ!”CVE-2024-4040: CrushFTP Users Targeted in Zero-Day Attack Campaign
2024/04/22 SecurityOnline — 人気のエンタープライズ・ファイル転送ソフトウェア CrushFTP のユーザーを標的とする、深刻な脆弱性が新たに出現した。このゼロデイ脆弱性 CVE-2024-4040 (CVSS:7.7) は、すべてのサポート対象プラットフォームにおいて、バージョン 10.7.1/11.1.0 未満を使用している組織に対して深刻なリスクをもたらす。この脆弱性により、最小限の権限しか持たない攻撃者は、VFS (Virtual File System) のサンドボックスをエスケープし、権限の及ばない機密ファイルへのアクセスを可能にする。
Continue reading “CrushFTP の脆弱性 CVE-2024-4040 が FIX:すでに悪用が観測されている”Critical Update: CrushFTP Zero-Day Flaw Exploited in Targeted Attacks
2024/04/20 TheHackerNews — 企業向けファイル転送ソフトウェアである、CrushFTP に脆弱性が発見された。CrushFTP はユーザーに対して、最新バージョンへのアップデートを急ぐよう呼びかけている。CrushFTP は 4月19日に公開したアドバイザリで、「CrushFTP v11 (11.1 以下) の脆弱性を悪用する攻撃者は、VFS をエスケープし、システム・ファイルをダウンロードする可能性を持つ。この脆弱性は、v11.1.0 で修正された」と説明している。
Continue reading “CrushFTP のゼロデイ脆弱性が FIX:標的型攻撃での悪用が確認されている”Exploit for CrushFTP RCE chain released, patch now
2023/11/18 BleepingComputer — CrushFTP エンタープライズ・スイートに存在する、深刻なリモート・コード実行の脆弱性に対する PoC エクスプロイトが公開された。この脆弱性の悪用に成功した未認証の攻撃者は、サーバ上のファイルにアクセスし、コードを実行し、プレーンテキストのパスワードを取得できるようになる。この脆弱性は、2023年8月に Converge のセキュリティ研究者により発見され、CVE-2023-43177 として追跡されている。この報告を受けた開発者は、一晩で修正を行い、CrushFTP 10.5.2 をリリースした。
Continue reading “CrushFTP の脆弱性 CVE-2023-43177:PoC エクスプロイトが公開”
IoT OT Security News 