文件传输服务器软件CrushFTP曝0day漏洞，且已被利用

CrushFTP公司周一表示，其文件传输服务器软件CrushFTP存在零日漏洞，并且已遭攻击者利用。该漏洞已在最新版本中得到修复，CrushFTP提醒用户立即进行修补。该漏洞（CVE-2024-4040）由Airbus CERT的Simon Garrelou发现并报告。据了解，任何经过身份验证或未经身份验证的用户都可以通过WebInterface检索不属于其虚拟文件系统的系统文件，并且后续有攻击升级的风险。CrushFTP目前已在10.7.1和11.1.0版本中将之修复。该漏洞的性质导致用户难以检查是否遭到利用，CrushFTP发言人称他们目前尚未听说有用户报告受害，但相信已经有一些未及时更新的用户受到影响，只是他们自己还没有意识到：“我们已经看到已打补丁的用户遭到对该漏洞的探测。假如他们没有更新，重要的配置信息已被窃取。我们再次强调，客户需要尽快更新，或者阻止所有IP（除了已知可信IP，并以白名 ………………………………