2024年4月23日ファイル転送サーバ「CrushFTP」で重大な脆弱性が公表されました。
脆弱性の概要(CVE-2024-4040)
悪用に成功すると、rootとして任意のファイルを読み取られるだけでなく、管理者アカウントへのアクセスや完全なリモートコード実行のための認証バイパスも可能になります。
さらにCrowdStrikeは、「この脆弱性が標的を絞った方法で実際に使用されているのを観察した」と発表しています
対象バージョン
影響を受けるバージョン | パッチ |
---|---|
11.0.1 | 11.1.0 |
10.0.0 から10.6.1 | 10.7.1 |
10.0.0以下 | 11.1.0へアップデート |