CrushFTP heeft een kwetsbaarheid verholpen in versies 10.0.0 tot 10.8.3 en 11.0.0 tot 11.3.0. De kwetsbaarheid stelt een kaadwillende in staat om ongeauthenticeerde externe toegang te verkrijgen via HTTP-verzoeken, wat kan leiden tot ongeautoriseerde toegang. Systemen die gebruik maken van de DMZ Proxy instance van CrushFTP zijn niet kwetsbaar. Er is (nog) geen publieke exploitcode bekend, maar het NCSC ontvangt wel meldingen dat kwaadwillenden actief scannen naar kwetsbare systemen en dat compromittaties worden waargenomen. Eigenaren van een systeem dat gebruik maakt van CrushFTP kunnen detecteren of eventuele compromittatie heeft plaatsgevonden, door in de session_logs directory te controleren of externe toegang is verkregen op standaard accounts als crushadmin of anonymous. Logregels als voorbeeld zijn:
```
SESSION|03/27/2025 12:41:24.636|[HTTP:250_22299:crushadmin:REDACTED_ATTACKER_IP] WROTE: 230 Password OK. Connected. SESSION|03/27/2025 12:41:24.636|[HTTP:250_22299:anonymous:REDACTED_ATTACKER_IP] WROTE: 230 Password OK. Connected.
```
ncsc
01-04-2025 09:47