CrushFTP是一款跨平台FTP服务器软件，存在漏洞。未使用DMZ代理时，攻击者可通过HTTPS获得管理员权限。受影响版本为CrushFTP 10<10.8.5和11<11.3.4_23。可通过docker搭建环境并利用Python脚本绕过认证创建管理员账户。

CrushFTP存在远程代码执行漏洞，攻击者可通过HTTP(S)请求获取管理权限并植入恶意脚本。受影响版本为10.x < 10.8.5和11.x < 11.3.4_23。建议用户升级到安全版本以修复漏洞。

watchTowr Labs报告指出CrushFTP存在零日认证绕过漏洞（CVE-2025-54309），攻击者可通过HTTP请求获取管理员权限。该漏洞影响CrushFTP 10（早于10.8.5）和11（早于11.3.4_23），已被广泛利用。建议立即升级至最新版本并监控相关请求以防范攻击。

安全研究人员确认，针对CrushFTP关键身份验证绕过漏洞（CVE-2025-2825）的攻击已活跃，全球约1512个未打补丁的实例仍然暴露。该漏洞影响多个版本，攻击者可通过特定HTTP请求绕过身份验证。CrushFTP已发布修复版本，建议用户立即升级以防范攻击。