Un defecto de deserialización en el componente de servlet de licencia de la plataforma de transferencia de archivos administrada (MFT) de Fortra Goanywhere.
Identificado como CVE-2025-10035, esta vulnerabilidad permite a un atacante no autenticado que puede entregar una firma de respuesta de licencia falsificada para activar la deserialización de Java de los objetos proporcionados por los atacantes, lo que podría dar como resultado una ejecución arbitraria de comandos y un compromiso completo del sistema.
Flaw de deserialización (CVE-2025-10035)
El servlet de licencia de GoAnywhere MFT no maneja los datos serializados en las respuestas de la licencia de manera segura. El servlet deserializa los datos sin validar los tipos de objetos, lo que lleva a un clásico CWE-502: Deserialización del escenario de datos no confiable.
Cuando se combina con la inyección de comando CWE-77: el problema permite la ejecución del código remoto con el vector de ataque de red (AV: N), la baja complejidad de ataque (AC: L), no se requieren privilegios (PR: N), ninguna interacción del usuario (UI: N), alto alcance de alcance (s: c) y pérdida total de confidencialidad (c: h), integridad (I), y disponibilidad (A: a: a: a: a: a: a), con un cVss.
Un atacante que puede crear una respuesta de licencia maliciosa que pasa la verificación de la firma puede inyectar comandos a través de los métodos del objeto deserializado.
Una carga útil serializada elaborada que hace referencia a java.lang.runtime.exec () podría aparecer como:
Este fragmento de código ilustra cómo se pueden armarse objetos deserializados para ejecutar comandos de shell arbitrarios en el servidor que aloja la consola de administración de GoanyWhere.
Factores de riesgo Productos afectados por el riesgo de la ejecución del código del código MftimpacTremote (RCE) Explote los requisitos previos de la licencia Forged Signaturecvss 3.1 Score10.0 (crítico)
Mitigaciones
Fortra declaró que La explotación exitosa depende de que la consola de administración de Goanywhere sea accesible a través de Internet. Para mitigar el riesgo inmediato, los administradores deben:
Restringir el acceso a la consola de administración por reglas de firewall o ACL de red para que no sea públicamente accesible. Verifique que solo las direcciones IP confiables puedan conectarse a la interfaz de gestión de GoanyWhere.
La remediación permanente requiere actualizar GoanyWhere MFT a una versión parcheada. Los clientes afectados deben actualizarse a la versión 7.8.4 o, si está en la rama de la versión Sostenente, versión 7.6.3.
Las actualizaciones incluyen rutinas de validación en el servlet de licencia para hacer cumplir la clase blanca y las verificaciones de firma, eliminando la deserialización insegura. Se insta a los equipos de seguridad a priorizar esta actualización de inmediato, dada la facilidad de la exploit y el devastador impacto potencial.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
