Fortra ha revelado detalles de fallas de seguridad clave en Goany, donde el software de transferencia de archivos administrado (MFT) que puede resultar en la ejecución de cualquier comando.
La vulnerabilidad rastreada como CVE-2025-10035 tiene una puntuación CVSS de 10.0, lo que indica la mayor gravedad.
«Una vulnerabilidad de decoloración en Fortra’s Goany, donde el servlet de licencia MFT permite a los actores con una firma de respuesta de licencia válida falsificada relajar cualquier objeto de control de actores, posiblemente conduciendo a la inyección de comandos», anunció Fortra el jueves.
La compañía también señaló que la explotación exitosa de las vulnerabilidades depende de los sistemas publicados en Internet.
Se recomienda a los usuarios que actualicen una versión parchada (versión 7.8.4 o sostengan la versión 7.6.3) para proteger contra posibles amenazas. Si el parche inmediato no es posible, le recomendamos que se asegure de que el acceso a la Goany, donde la consola de administración no esté disponible públicamente.
Fortra no menciona ningún defecto explotado en la naturaleza. Dicho esto, los inconvenientes revelados previamente en el mismo producto (CVE-2023-0669, puntaje CVSS: 7.2) fueron abusados como el día cero por actores de ransomware, robando datos confidenciales.
Luego, a principios del año pasado, abordamos otra vulnerabilidad importante en el Goany, donde MFT (CVE-2024-0204, CVSS puntaje: 9.8).
«La vulnerabilidad recientemente revelada en la Goany de Fortra, donde la solución MFT afecta la misma ruta del código de licencia que la CVE-2023-0669 anterior, que fue ampliamente explotada por múltiples ransomware y grupos APT en 2023.
«Con miles de instancias de MFT expuestas a Internet, este problema es casi seguro que será armado para una explotación salvaje pronto. Si bien la explotación de Fort Ranote requiere una exposición externa, estos sistemas generalmente deben asumir que las mejoras en Internet son vulnerables.
Source link
