La empresa de ciberseguridad Huntress dijo que ha visto una explotación activa de una falla de seguridad no parcheada que afecta a sus productos Gladinet CentreStack y TrioFox.
La vulnerabilidad de día cero, rastreada como CVE-2025-11371 (puntaje CVSS: 6.1), es un error de inclusión de archivos locales no autenticados que permite la divulgación involuntaria de archivos del sistema. Esto afecta a todas las versiones del software anteriores a la 16.7.10368.56560.
Huntress dijo que detectó esta actividad por primera vez el 27 de septiembre de 2025 y hasta ahora se ha descubierto que tres de sus clientes están afectados.
Vale la pena señalar que ambas aplicaciones se vieron afectadas anteriormente por CVE-2025-30406 (puntuación CVSS: 9,0). Este es un caso de una clave de máquina codificada, que podría permitir a un actor de amenazas realizar la ejecución remota de código a través de una vulnerabilidad de deserialización de ViewState. Desde entonces, esta vulnerabilidad ha sido explotada.
Según Huntress, CVE-2025-11371 «permitió a un actor de amenazas obtener una clave de máquina del archivo Web.config de una aplicación y ejecutar código remoto a través de la vulnerabilidad de deserialización ViewState descrita anteriormente. Detalles adicionales de esta falla están pendientes a la luz de una investigación activa y la ausencia de un parche».
En un caso que la empresa investigó, la versión afectada era posterior a 16.4.10315.56368 y no era vulnerable a CVE-2025-30406. Esto sugiere que un atacante podría explotar una versión anterior y usar una clave de máquina codificada para ejecutar código de forma remota a través de una falla en la deserialización de ViewState.
Mientras tanto, recomendamos deshabilitar el controlador «temp» en el archivo Web.config para UploadDownloadProxy ubicado en «C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config».
«Si bien esto afecta algunas funciones de la plataforma, garantiza que esta vulnerabilidad no pueda explotarse hasta que se parchee», dijeron los investigadores de Huntress Brian Masters, James McLachlan, Jay Minton y John Hammond.
Source link
