CVE-2025-10035
Deserialization Vulnerability in GoAnywhere MFT's License Servlet
En resumen
GoAnywhere MFT contiene una falla que permite a alguien con una licencia falsificada inyectar y ejecutar comandos maliciosos en el servidor. Esto ocurre porque el software procesa datos no confiables sin validación adecuada.
Detalle técnico
El License Servlet de GoAnywhere MFT deserializa objetos no confiables (CWE-502) sin validación suficiente, permitiendo inyección de comandos (CWE-77) cuando un atacante crea una respuesta de licencia maliciosa con firma válida falsificada. La precondición requiere capacidad de generar firma válida; el impacto incluye ejecución de código arbitrario con privilegios de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Fortra · GoAnywhere MFTPoCs públicas encontradas — 3
githubgithub.com/rxerium/CVE-2025-10035★ 19githubgithub.com/ThemeHackers/CVE-2025-10035★ 1githubgithub.com/orange0Mint/CVE-2025-10035_GoAnywhere★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →