A CrushFTP emitiu um alerta urgente para que seus usuários atualizem imediatamente seus servidores após a descoberta de uma falha crítica que permite acesso não autenticado via portas HTTP(S). A vulnerabilidade afeta as versões 10 e 11 do CrushFTP e pode ser explorada por atacantes caso o servidor esteja exposto à internet. Segundo comunicado enviado aos clientes em 21 de março de 2025, a falha permite que um invasor acesse servidores sem qualquer autenticação, colocando em risco dados sensíveis e a integridade do sistema.

A empresa reforça que a atualização para a versão 11.3.1 ou superior corrige o problema. Para quem não pode aplicar a atualização de imediato, a recomendação é ativar a função DMZ, que atua como camada de proteção adicional. Embora inicialmente a CrushFTP tenha informado que apenas a versão 11 seria afetada, um boletim técnico confirmou que a falha também impacta a versão 10, conforme apontado pela empresa de cibersegurança Rapid7. Dados do Shodan indicam que mais de 3.400 instâncias do CrushFTP estão com suas interfaces web expostas à internet, o que aumenta o risco de exploração em massa. Não se sabe quantas dessas já foram atualizadas.

Esta não é a primeira vez que o CrushFTP enfrenta problemas de segurança. Em 2024, uma falha zero-day (CVE-2024-4040) foi explorada ativamente para permitir que atacantes escapassem do sistema de arquivos virtual e acessassem arquivos do sistema. Investigações apontaram para uma campanha de espionagem digital, provavelmente com motivação política. Em 2023, outra vulnerabilidade crítica (CVE-2023-43177) permitia execução remota de código e também exigiu patch imediato após a divulgação de um exploit público.