檔案伺服器軟體CrushFTP存在零時差漏洞，攻擊者可逃脫虛擬檔案系統下載伺服器的系統檔案

4月19日檔案伺服器系統CrushFTP發布資安公告，指出他們發布10.7.1、11.1.0新版本程式，修補已遭利用的零時差漏洞CVE-2024-4040，呼籲用戶應儘速部署新版程式因應。

該公司指出，一旦攻擊者利用上述漏洞，就有機會跳脫使用者的虛擬檔案系統（Virtual File System，VFS）範圍，從而存取、下載伺服器的系統檔案，CVSS風險評分為7.7。

雖然開發團隊並未透過攻擊細節，但資安業者CrowdStrike指出，這項漏洞被用於針對性攻擊，對方鎖定美國企業組織的CrushFTP伺服器下手，研究人員根據取得的證據，認為駭客很可能基於政治目標收集情報。