CrushFTP: PoC für kritische Sicherheitslücken (CVE-2025-32102 und CVE-2025-32103)

Für die bekannten Sicherheitslücken CVE-2025-32102 (Server-Side Request Forgery) und CVE-2025-32103 (Directory Traversal) in CrushFTP wurde nun ein öffentlicher Proof of Concept (PoC) publiziert. Die Schwachstellen betreffen die Versionen von CrushFTP 9.x bis 10.8.4 sowie 11.x bis 11.3.1 und erlauben potenziell einem Angreifer die Ausführung von Schadcode aus der Ferne.

Der Hersteller hat bereits Updates bereitgestellt, um die Schwachstellen zu beheben. Anwender sollten dringend auf die aktuellsten Versionen aktualisieren, um einem Missbrauch vorzubeugen.

Weitere Informationen und Updates finden sich auf der offiziellen Webseite von CrushFTP: https://www.crushftp.com/download.html.

Related Posts

Kritische Sicherheitslücke in jupyter-remote-desktop-proxy bei Nutzung von TigerVNC

In der Python-Bibliothek jupyter-remote-desktop-proxy wurde eine schwerwiegende Sicherheitslücke entdeckt. Die betroffene Version 3.0.0 war so konzipiert, dass sie ausschließlich UNIX-Sockets verwendet, um VNC-Verbindungen ausschließlich für den aktuellen Benutzer zugänglich zu machen. Wird jedoch TigerVNC als VNC-Server eingesetzt, ist die Verbindung fälschlicherweise über das Netzwerk erreichbar, was das ursprüngliche Sicherheitskonzept unterläuft.

Read More

Unzurechender Zugriffsschutz im Drupal-Modul Panels (CVE-2025-3474)

Am 9. April 2025 wurde eine kritische Sicherheitslücke (CVE-2025-3474) im beliebten Drupal-Modul Panels bekannt gegeben. Das Sicherheitsrisiko wird mit 16 von 25 Punkten bewertet, was der Stufe „Critical“ entspricht. Die Schwachstelle betrifft alle Versionen vor Panels 4.9.0.

Read More

4.4 Mio Datensätze bei WooCommerce Datenleck gestohlen

Laut einem Bericht von Hackread hat ein Hacker namens „Satanic“ über 4,4 Millionen Datensätze von Nutzern WooCommerce-basierter Shops gestohlen. Die Daten – darunter E-Mails, Telefonnummern und Geschäftsinformationen – sollen nicht direkt aus WooCommerce stammen, sondern über unsichere Drittanbieter-Integrationen wie CRM- oder Marketingtools abgegriffen worden sein. Betroffen sind auch namhafte Organisationen wie NVIDIA, NIST und Texas.gov.

Read More