Fortra发布针对CVSS 10.0的GoAnywhere MFT漏洞的紧急补丁

Fortra发布针对CVSS 10.0的GoAnywhere MFT漏洞的紧急补丁

Fortra披露了GoAnywhere托管文件传输(MFT)软件中一个严重安全漏洞的细节,该漏洞可能导致任意命令的执行。

该漏洞编号为CVE-2025-10035,其CVSS评分为10.0,表明其为最高严重级别。

Fortra在周四发布的一份公告中表示:“Fortra的GoAnywhere MFT的License Servlet中存在一个反序列化漏洞,这使得拥有有效伪造许可证响应签名的攻击者能够反序列化任意的攻击者控制对象,这可能会导致命令注入。”

该公司还指出,能否成功利用这一漏洞取决于系统是否可通过互联网公开访问。

建议用户更新到已修复的版本——7.8.4版本,或长期支持版本7.6.3,以防范潜在威胁。如果无法立即打补丁,建议确保GoAnywhere管理控制台不向公众开放访问权限。

Fortra没有提及该漏洞已在野外被利用。尽管如此,该产品先前披露的缺陷(CVE-2023-0669,CVSS评分:7.2)曾被勒索软件攻击者作为零日漏洞滥用,以窃取敏感数据。

然后,去年年初,它修复了GoAnywhere MFT中的另一个关键漏洞(CVE-2024-0204,CVSS评分:9.8),该漏洞可能被利用来创建新的管理员用户。

watchTowr主动威胁情报主管瑞安·杜赫斯特在与《黑客新闻》分享的一份声明中表示:“Fortra的GoAnywhere MFT解决方案中新披露的漏洞影响到管理控制台中与早期CVE-2023-0669相同的许可证代码路径,该漏洞在2023年被多个勒索软件和APT组织广泛利用,其中包括LockBit。”

“由于数千个GoAnywhere MFT实例暴露在互联网上,这一问题几乎肯定会很快被武器化,用于野外利用。尽管Fortra指出,利用该漏洞需要外部暴露,但这些系统在设计上通常是面向互联网的,因此各组织应假定自己存在漏洞。各组织应立即应用官方补丁,并采取措施限制对管理控制台的外部访问。”

版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
安全威胁

俄罗斯黑客组织Gamaredon与Turla合作在乌克兰部署Kazuar后门程序

2025-9-22 12:26:37

安全威胁

SystemBC通过80台C2服务器为REM Proxy提供支持,每日导致1500台VPS受害

2025-9-22 12:30:53

搜索