CVE-2025-10035
Deserialization Vulnerability in GoAnywhere MFT's License Servlet
Em resumo
GoAnywhere MFT tem uma falha que permite a alguém com uma licença falsificada injetar e executar comandos maliciosos no servidor. Isso ocorre porque o software processa dados não confiáveis sem validação adequada.
Detalhe técnico
O License Servlet do GoAnywhere MFT desserializa objetos não confiáveis (CWE-502) sem validação suficiente, possibilitando injeção de comandos (CWE-77) quando um atacante cria uma resposta de licença maliciosa com assinatura válida forjada. A pré-condição requer capacidade de gerar assinatura válida; o impacto inclui execução de código arbitrário com privilégios da aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
Fortra · GoAnywhere MFTPoCs públicas encontradas — 3
githubgithub.com/rxerium/CVE-2025-10035★ 19githubgithub.com/ThemeHackers/CVE-2025-10035★ 1githubgithub.com/orange0Mint/CVE-2025-10035_GoAnywhere★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →