Krytyczna podatność w komponencie License Servlet aplikacji Fortra GoAnywhere MFT umożliwia atakującemu, który potrafi sfałszować podpis odpowiedzi licencyjnej, deserializację dowolnego obiektu kontrolowanego przez atakującego. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i uzyskała maksymalny wynik CVSS 10.0.
▸ Pokaż oryginał (EN)
A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.
Atakujący fałszuje podpis odpowiedzi licencyjnej (license response signature) w taki sposób, aby przeszła ona weryfikację po stronie serwera. Spreparowana odpowiedź zawiera złośliwie skonstruowany obiekt serializowany, który License Servlet deserializuje bez odpowiedniej walidacji zawartości (CWE-502). Operacja deserializacji prowadzi do command injection (CWE-77), umożliwiając wykonanie dowolnych poleceń systemowych w kontekście serwera aplikacji. Podatność nie wymaga żadnego uwierzytelnienia ani interakcji po stronie użytkownika, a jej zakres oddziaływania wykracza poza samą aplikację (Scope: Changed).
Atakujący może uzyskać pełną kontrolę nad serwerem — wykonać dowolne polecenia systemu operacyjnego, uzyskać dostęp do przechowywanych plików i danych (w tym transferowanych drogą MFT), a także naruszyć integralność i dostępność systemu.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym advisory Fortra (fi-2025-012). Ze względu na potwierdzenie aktywnego wykorzystania przez CISA KEV, aktualizacja powinna być traktowana priorytetowo. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu sieciowego do License Servlet oraz monitorowanie anomalnych żądań kierowanych do tego komponentu.
Fortra GoAnywhere Managed File Transfer — wersje wskazane w referencjach producenta (advisory fi-2025-012 na stronie fortra.com).
Podatność została ujęta w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Data publikacji advisory: 2025-09-18.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HFortra Goanywhere Managed File Transfer
APPFortra< 7.6.37.7.0 – 7.8.4 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Fortra
- Produkti
- GoAnywhere MFT
- Data dodania do KEVi
- 29 września 2025
- Termin remediation (USA)i
- 20 października 2025(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Fortra GoAnywhere MFT zawiera lukę umożliwiającą deserializację niezaufanych danych, która pozwala podmiotowi z prawidłowo sfałszowaną sygnaturą odpowiedzi licencji na deserializowanie dowolnego obiektu kontrolowanego przez atakującego, potencjalnie prowadząc do command injection.
▸ Pokaż oryginał (EN)
Fortra GoAnywhere MFT contains a deserialization of untrusted data vulnerability allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.
Powiązane podatności
Pominięcie uwierzytelniania w Fortra GoAnywhere MFT — tworzenie konta admina
Fortra (formerly, HelpSystems) GoAnywhere MFT suffers from a pre-authentication command injection vulnerabilit...
The login limit is not enforced on the SFTP service of Fortra's GoAnywhere MFT prior to 7.10.0 if the Web User...
Encrypted values in Fortra's GoAnywhere MFT prior to version 7.10.0 and GoAnywhere Agents prior to version 2.2...
An improper session timeout issue in Fortra's GoAnywhere MFT prior to version 7.10.0 results in SAML configure...