CrushFTP 10 до 10.8.4 и 11 до 11.3.1 позволяет обойти аутентификацию и захватить учетную запись crushadmin (если не используется прокси-сервер DMZ), как это было использовано в марте и апреле 2025 года, известное как “Неаутентифицированный доступ к порту HTTP(S).” В HTTP-компоненте FTP-сервера существует состояние гонки в методе авторизации AWS4-HMAC (совместим с S3). Сервер сначала проверяет существование пользователя, выполняя вызов login_user_pass() без требования пароля. Это аутентифицирует сессию через процесс проверки HMAC и до тех пор, пока сервер снова не проверит аутентификацию пользователя. Уязвимость может быть дополнительно стабилизирована, исключая необходимость успешно инициировать состояние гонки, отправляя поврежденный заголовок AWS4-HMAC. Указав только имя пользователя и последующий слэш (/), сервер успешно найдет имя пользователя, что инициирует успешный процесс аутентификации anypass, но сервер не сможет найти ожидаемую запись SignedHeaders, что приведет к ошибке индекса вне границ, которая остановит код от достижения очистки сессии. Вместе эти проблемы делают аутентификацию как любого известного или предположительно известного пользователя (например, crushadmin) тривиальной и могут привести к полному компромиссу системы путем получения административной учетной записи.