4月19日档案伺服器系统CrushFTP发布资安公告，指出他们发布10.7.1、11.1.0新版本程式，修补已遭利用的零时差漏洞CVE-2024-4040，呼吁用户应尽速部署新版程式因应。

该公司指出，一旦攻击者利用上述漏洞，就有机会逃脱使用者的虚拟档案系统（Virtual File System，VFS），从而存取、下载伺服器的系统档案，CVSS风险评分为7.7。

虽然开发团队并未透过攻击细节，但资安业者CrowdStrike指出，这项漏洞被用于针对性攻击，对方锁定美国企业组织的CrushFTP伺服器下手，研究人员根据取得的证据，认为骇客很可能基于政治目标收集情报。