CVE-2025-14611
Gladinet CentreStack and TrioFox Hard Coded AES Keys
En resumen
Gladinet CentreStack y TrioFox utilizan claves de cifrado fijas en lugar de únicas, debilitando la seguridad y permitiendo acceso no autorizado a archivos en sistemas públicos sin autenticación.
Detalle técnico
Las claves criptográficas codificadas en la implementación AES (CWE-798) permiten a atacantes no autenticados elaborar solicitudes especiales para inclusión arbitraria de archivos locales (LFI) en endpoints expuestos; afecta versiones anteriores a 16.12.10420.56791 y puede encadenarse con otras vulnerabilidades para compromiso total del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
Gladinet CentreStack and Triofox prior to version 16.12.10420.56791 used hardcoded values for their implementation of the AES cryptoscheme. This degrades security for public exposed endpoints that may make use of it and may offer arbitrary local file inclusion when provided a specially crafted request without authentication. This opens the door for future exploitation and can be leveraged with previous vulnerabilities to gain a full system compromise.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:H/SI:H/SA:H/E:A
Productos afectados
Gladinet · CentreStack and TrioFoxPoCs públicas encontradas — 1
githubgithub.com/pl4tyz/CVE-2025-14611-CentreStack-and-Triofox-full-Poc-Exploit★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →