Fortra avertizează asupra unei noi vulnerabilități critice

Fortra a lansat actualizări de securitate pentru a remedia o vulnerabilitate cu grad de severitate critic în License Servlet al GoAnywhere MFT, care poate fi exploatată în atacuri de tip command injection.

GoAnywhere MFT este un instrument web de transfer de fișiere, ce ajută la transferul de fișiere în siguranță și păstrarea log-urilor de audit cu privire la persoanele care accesează fișierele partajate.

Urmărită ca CVE-2025-10035, vulnerabilitatea este cauzată de o eroare de tip deserialization of untrusted data și poate fi exploatată de la distanță în atacuri de complexitate redusă, care nu necesită interacțiunea utilizatorului.

Compania a lansat GoAnywhere MFT 7.8.4 și Sustain Release 7.6.3, care includ patch-uri pentru CVE-2025-10035, și a sfătuit administratorii ce nu pot actualiza imediat software-ul, să securizeze sistemele vulnerabile, asigurându-se că GoAnywhere Admin Console nu poate fi accesată prin internet.

Deși CVE-2025-10035 nu a fost încă etichetat ca fiind exploatat în mod activ, administratorilor li se recomandă totuși să aplice patch-uri pentru instanțele GoAnywhere MFT, deoarece atacatorii consideră soluțiile de transfer securizate de fișiere o țintă atractivă, fiind adesea utilizate pentru partajarea documentelor sensibile.

Sursă: https://www.bleepingcomputer.com/news/security/fortra-warns-of-max-severity-flaw-in-goanywhere-mfts-license-servlet/