CVE-2025-54309 — 神龙十问 AI 深度分析摘要
CVSS 9.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:CrushFTP 的 AS2 验证逻辑存在缺陷。 💥 **后果**:攻击者可绕过认证,直接获取**管理员权限**,完全控制服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-420 (监听条件下的竞争条件)。 🔧 **缺陷点**:HTTP 会话管理代码 (`ServerSessionHTTP.java`) 中,`AS2-To` 头部的验证处理不当,特别是缺少 `-_-` 分隔符时。
Q3影响谁?(版本/组件)
📦 **产品**:CrushFTP。 📉 **受影响版本**: - 10.x 版本 < 10.8.5 - 11.x 版本 < 11.3.4_23 ⚠️ **注意**:若未使用 DMZ 代理功能,风险极高。
Q4黑客能干啥?(权限/数据)
👑 **权限**:远程攻击者可获得**管理员权限**。 📂 **数据**:可读取、修改、删除所有文件,甚至执行远程命令 (RCE)。 🌐 **范围**:无需认证,直接通过 HTTPS 访问即可。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 🔓 **认证**:**无需认证** (Unauthenticated)。 🌐 **网络**:网络可达即可利用 (AV:N)。 🖱️ **交互**:无需用户交互 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp 状态**:**已有现成 PoC 和 Exploit**。 🔗 **来源**:GitHub 上多个公开项目 (如 Issamjr, WatchTowrlabs, blueisbeautiful)。 🌍 **在野利用**:2025年7月已在野外被利用 (Exploited in the wild)。
Q7怎么自查?(特征/扫描)
🔍 **检测特征**: - 检查 HTTP 请求中 `AS2-To` 头部。 - 使用 Nuclei 模板扫描:`CVE-2025-54309.yaml`。 - 运行专用 PoC 脚本 (如 watchTowr 的 Python 脚本) 验证。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已发布补丁**。 📅 **时间**:2025年7月18日公开。 ✅ **建议**:立即升级至 **10.8.5** 或 **11.3.4_23** 及以上版本。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: - 若无法立即升级,**禁用 DMZ 代理功能**。 - 限制对 CrushFTP 管理接口的网络访问 (防火墙/WAF)。 - 监控异常 AS2 请求流量。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📊 **CVSS**:9.8 (接近满分)。 ⚡ **行动**:由于已在野利用且无需认证,建议**立即**修补或隔离受影响系统。