CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-10035

Deserialization i command injection w Fortra GoAnywhere MFT (License Servlet)

CVSS 10.0v3.1pub. 2025-09-18upd. 2025-10-24

Krytyczna podatność w komponencie License Servlet aplikacji Fortra GoAnywhere MFT umożliwia atakującemu, który potrafi sfałszować podpis odpowiedzi licencyjnej, deserializację dowolnego obiektu kontrolowanego przez atakującego. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i uzyskała maksymalny wynik CVSS 10.0.

Pokaż oryginał (EN)

A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.

🤖 Analiza AI
Jak działa

Atakujący fałszuje podpis odpowiedzi licencyjnej (license response signature) w taki sposób, aby przeszła ona weryfikację po stronie serwera. Spreparowana odpowiedź zawiera złośliwie skonstruowany obiekt serializowany, który License Servlet deserializuje bez odpowiedniej walidacji zawartości (CWE-502). Operacja deserializacji prowadzi do command injection (CWE-77), umożliwiając wykonanie dowolnych poleceń systemowych w kontekście serwera aplikacji. Podatność nie wymaga żadnego uwierzytelnienia ani interakcji po stronie użytkownika, a jej zakres oddziaływania wykracza poza samą aplikację (Scope: Changed).

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — wykonać dowolne polecenia systemu operacyjnego, uzyskać dostęp do przechowywanych plików i danych (w tym transferowanych drogą MFT), a także naruszyć integralność i dostępność systemu.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym advisory Fortra (fi-2025-012). Ze względu na potwierdzenie aktywnego wykorzystania przez CISA KEV, aktualizacja powinna być traktowana priorytetowo. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu sieciowego do License Servlet oraz monitorowanie anomalnych żądań kierowanych do tego komponentu.

Kogo dotyczy

Fortra GoAnywhere Managed File Transfer — wersje wskazane w referencjach producenta (advisory fi-2025-012 na stronie fortra.com).

Uwagi

Podatność została ujęta w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Data publikacji advisory: 2025-09-18.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Fortra Goanywhere Managed File Transfer

    APP
    Fortra
    < 7.6.37.7.0 – 7.8.4 (bez)

CISA KEV — szczegółyi

Dostawcai
Fortra
Produkti
GoAnywhere MFT
Data dodania do KEVi
29 września 2025
Termin remediation (USA)i
20 października 2025(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Fortra GoAnywhere MFT zawiera lukę umożliwiającą deserializację niezaufanych danych, która pozwala podmiotowi z prawidłowo sfałszowaną sygnaturą odpowiedzi licencji na deserializowanie dowolnego obiektu kontrolowanego przez atakującego, potencjalnie prowadząc do command injection.

tłumaczenie AI
Pokaż oryginał (EN)

Fortra GoAnywhere MFT contains a deserialization of untrusted data vulnerability allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 20 października 2025
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2024-0204CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelniania w Fortra GoAnywhere MFT — tworzenie konta admina

CVE-2023-0669HIGH7.2⚠ KEVten sam produkt

Fortra (formerly, HelpSystems) GoAnywhere MFT suffers from a pre-authentication command injection vulnerabilit...

CVE-2025-14362HIGH7.3ten sam produkt

The login limit is not enforced on the SFTP service of Fortra's GoAnywhere MFT prior to 7.10.0 if the Web User...

CVE-2025-1241MEDIUM5.8ten sam produkt

Encrypted values in Fortra's GoAnywhere MFT prior to version 7.10.0 and GoAnywhere Agents prior to version 2.2...

CVE-2026-0971MEDIUM4.3ten sam produkt

An improper session timeout issue in Fortra's GoAnywhere MFT prior to version 7.10.0 results in SAML configure...