摘要：近日，亚信安全CERT监控到安全社区研究人员发布安全通告，CrushFTP 存在一个“身份验证绕过”漏洞（CVE-2025-54309）。当未启用 DMZ 代理时，AS2 验证处理不当，远程未授权攻击者可绕过认证并获取管理员权限，进而完全接管受害服务器及其托管

近日，亚信安全CERT监控到安全社区研究人员发布安全通告，CrushFTP 存在一个“身份验证绕过”漏洞（CVE-2025-54309）。当未启用 DMZ 代理时，AS2 验证处理不当，远程未授权攻击者可绕过认证并获取管理员权限，进而完全接管受害服务器及其托管的业务数据与文件传输服务。

目前官方已发布安全更新，亚信安全CERT建议受影响的客户尽快升级至最新版本。

CrushFTP 是一款跨平台的企业级文件传输服务器与托管文件传输（MFT）解决方案，支持 FTP/FTPS、SFTP、HTTP/HTTPS、WebDAV 等多种协议，适用于 Windows、Linux、macOS。它提供基于 Web 的可视化管理、用户与角色权限控制、虚拟文件系统、作业与自动化流程、审计与日志、插件扩展、DMZ 代理和 AS2/EDI 集成等能力，帮助组织安全、高效地在内外网间进行文件共享与系统对接。

漏洞编号、类型、等级和评分

CVE-2025-54309

身份验证绕过漏洞

极危

CVSS3.0： 9分

CVSS2.0 : 7.6分

漏洞状态

受影响版本

10.0.0

11.0.0

产品解决方案

目前亚信安全怒狮引擎已第一时间新增了检测规则，支持CVE-2025-54309漏洞的检测，请及时更新TDA产品的特征库到最新版本。规则编号：106068157，规则名称：CrushFTP身份验证绕过漏洞(CVE-2025-54309)。

更新方式如下：

TDA产品在线更新方法：登录系统-》系统管理-》系统升级-》特征码更新；

TDA产品离线升级PTN包下载链接如下

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025

本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性，但在互联网环境中，文件下载仍存在潜在风险。为保障您的设备安全与数据隐私，敬请您在点击下载前谨慎核实其安全性和可信度。

来源：亚信安全