【iThome新聞】檔案伺服器軟體CrushFTP存在零時差漏洞,攻擊者可逃脫虛擬檔案系統下載伺服器的系統檔案

來源
iThome新聞

內容
4月19日檔案伺服器系統CrushFTP發布資安公告,指出他們發布10.7.1、11.1.0新版本程式,修補已遭利用的零時差漏洞CVE-2024-4040,呼籲用戶應儘速部署新版程式因應。
該公司指出,一旦攻擊者利用上述漏洞,就有機會跳脫使用者的虛擬檔案系統(Virtual File System,VFS)範圍,從而存取、下載伺服器的系統檔案,CVSS風險評分為7.7。