关键信息总结 漏洞概述 漏洞名称: CrushFTP auth bypass vulnerability (CVE-2025-31161) CVSS评分: 9.8 (高危) 影响范围: CrushFTP v10或v11的未打补丁版本 利用方式: 远程攻击者可利用此漏洞获得对运行CrushFTP服务器的设备的未授权访问 时间线 2023年3月17日: Outpost24向MITRE请求CVE编号 2023年3月18日: Outpost24联系CrushFTP通报发现的漏洞 2023年3月19日: Outpost24与CrushFTP CEO Ben Spink会面讨论技术细节,CrushFTP迅速创建补丁 2023年3月20日及21日: 再次与CrushFTP讨论披露事宜,鉴于漏洞严重性,需确保CrushFTP用户及时了解并升级 2023年3月25日: VulnCheck发布关于该漏洞的CVE(CVE-2025-2825),但未通知CrushFTP或Outpost24 2023年3月27日: MITRE分配独立CVE编号CVE-2025-31161 2023年3月28日: 媒体开始报道该漏洞,其他方趁机利用,撰写博客、发布PoC代码 漏洞详情 存在位置: CrushFTP中的HTTP Authorization头 目标功能: AWS4-HMAC-SHA256认证,用于Amazon服务支持 绕过机制: 服务器在接收到初始认证机制后获取用户信息,无需密码即时认证用户。尽管后续请求需要密码,但若使用任意有效用户名,仍可保持会话一段时间 执行难度: 需要极短时间窗口,理论上可通过发送篡改Authorization头实现,导致会话初始化前完成请求 危险性: 多数人选择“crashadmin”作为管理员用户,或易猜用户名,使漏洞极易被利用以获取管理权限 利用步骤 1. 生成随机字母数字会话令牌(至少31字符) 2. 设置名为CrushAuth的cookie,值为第一步生成的令牌 3. 创建名为currentAuth的cookie,值为第一步生成令牌的前4个字符 4. 向 发起HTTP GET请求,携带第二、三步的cookie,以及设置Authorization头为 ,其中username为欲认证的用户(如crashadmin) 5. 第一步生成的会话现在应以所选用户身份认证,可执行该用户有权执行的任何命令 应对措施 立即升级至CrushFTP版本10.8.4或11.3.1及以上 使用Outpost24的Cubetiq Flex解决方案持续监控和保护应用攻击面