A vulnerabilidade dada pelo CVE-2024-4040 acontece por causa de permitir que atacantes com privilégios reduzidos consigam fazer bypass à sandbox do sistema de ficheiros virtual (VFS) e aceder a ficheiros fora dos limites definidos. Em termos técnicos, a falha foi designada como SSTI ou Server-Side Template Injection, na qual é possível usar a sintaxe do template para injetar código malicioso no mesmo e que depois é executado no servidor.

Versões afetadas

9.x before 10.7.1 and 11.0 before 11.1.0

Solução

Atualizar para a 10.7.1 ou 11.1.0

Advisory oficial e fazer update: https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update