Résumé
Le 18 juillet 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a alerté sur une faille critique dans CrushFTP, un logiciel utilisé pour transférer des fichiers en entreprise.
Référencée sous CVE-2025-54309, cette vulnérabilité permet à un attaquant distant d’obtenir un accès administrateur via l’interface HTTPS, sans authentification, lorsque la fonction proxy DMZ n’est pas activée. Cette faille met en danger la confidentialité et la sécurité des données gérées par CrushFTP.
Solutions
Il est recommandé de mettre à jour CrushFTP vers la version 10.8.5_12 ou ultérieure, ou 11.3.4_26 ou ultérieure.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.0
Risques : Prise de contrôle administrateur à distance,
vol et modification des fichiers,
compromission complète du serveur
Systèmes affectés
- Versions de CrushFTP antérieures à 10.8.5_12 et 11.3.4_26, sur toutes plateformes, lorsque la fonction proxy DMZ est désactivée
Documentation
- Bulletin de CrushFTP :
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-54309
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-54309/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-54309