漏洞描述
CrushFTP是一款支持FTP、FTPS、SFTP、HTTP、HTTPS等协议的跨平台FTP服务器软件。 CrushFTP 10.7.1版本之前和11.1.0版本之前存在服务器端模板注入漏洞,可能导致未经身份验证的威胁者从虚拟文件系统(VFS)沙箱外部的文件系统读取文件、绕过身份验证获得管理访问权限,并在服务器上远程执行代码。
CrushFTP /WebInterface/function 文件读取漏洞
PoC代码
暂无相关漏洞推荐
-
ftp-anonymous-login: FTP Anonymous Login POC
2025-09-01 | ftpAnonymous FTP access allows anyone to access your public_ftp folder, allowing unidentified visitors ... -
vsftpd-backdoor: VSFTPD 2.3.4 - Backdoor Command Execution POC
2025-09-01 | VSFTPDVSFTPD 2.3.4 contains a backdoor command execution vulnerability. fofa: app="vsftpd" -
CVE-2011-2523: VSFTPD 2.3.4 - Backdoor Command Execution POC
2025-09-01 | VSFTPDVSFTPD v2.3.4 had a serious backdoor vulnerability allowing attackers to execute arbitrary commands ... -
dahua-smart-park-deleteftp-rce: 大华智慧园区综合管理平台 deleteFtp 远程命令执行 POC
2025-09-01 | 大华智慧园区综合管理平台大华智慧园区综合管理平台 deleteFtp 接口存在远程命令执行漏洞。 Fofa: body="/WPMS" || body="src=\"/WPMS/ass... -
LemonLDAP::NG 操作系统命令注入漏洞 无POC
2025-09-20 00:03:21 | LemonLDAP::NGLemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...