HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将最近披露的一个影响 CrushFTP 的严重安全漏洞添加到其已知被利用漏洞（KEV）目录中，此前有报告显示该漏洞在野外被积极利用。 该漏洞是一个身份验证绕过漏洞，可能允许未认证的攻击者接管易受攻击的实例。该漏洞已在版本 10.8.4 和 11.3.1 中修复。...

暴露在互联网上的CrushFTP实例（Shodan数据） 在2024年4月，CrushFTP还发布了安全更新，修复了一个正在被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未授权的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。

当时，网络安全公司CrowdStrike发现了指向情报收集活动的证据，很可能是出于政治动机，...