漏洞名称： CrushFTP as2-to 认证权限绕过漏洞（CVE-2023-43177）

English Name：CrushFTP as2-to Authentication Permission bypass Vulnerability (CVE-2023-43177)

CVSS core: 9.8

影响资产数： 38695

漏洞描述：

CrushFTP 是一个强大的文件传输服务器，适用于个人用户或企业用户进行安全、高效的文件传输和管理。CrushFTP 存在权限绕过漏洞，攻击者可通过构造恶意的 as2-to 请求认证，从而绕过系统权限控制，达到任意执行文件读取和删除等恶意操作。

FOFA查询语句（点击直接查看结果）：

app=“crushftp-WebInterface”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby：Goby社区版下载

查看Goby更多漏洞：Goby历史漏洞合集

关注Goby公众号获取最新动态：Gobysec