A támadók aktívan kihasználják a Gladinet CentreStack és a Triofox termékeket érintő CVE-2025-11371 azonosítón nyomon követett nulladik napi sebezhetőséget, amely lehetővé teszi a támadók számára, hogy hitelesítés nélkül hozzáférjenek rendszerfájlokhoz.
A Gladinet CentreStack és Triofox üzleti célú fájlmegosztó- és távoli hozzáférési megoldásai lehetővé teszik a vállalat számára, hogy saját tárhelyüket felhőként üzemeltessék.
A CVE-2025-11371 egy helyi fájlbeillesztési (Local File Inclusion – LFI) sebezhetőség, amely mindkét termék összes verziójának alapértelmezett telepítését és konfigurációját érinti, beleértve a legújabb 16.7.10368.56560-as kiadást is.
A Huntres kiberbiztonsági kutatói szeptember 27-én észlelték a hibát, amikor egy támadó sikeresen megszerezte a machine key-t és távolról kódot futtatott. A részletes vizsgálat megállapította, hogy a probléma egy LFI volt, amelyet a Web[.]config beolvasására és a machine key kinyerésére használtak fel. Ez lehetővé tette a támadó számára, hogy egy korábbi deszerializációs sebezhetőséget (CVE-2025-30406) kihasználva a ViewState-en keresztül távoli kódfuttatást (remote code execution – RCE) érjen el.
A CVE-2025-30406 deszerializációs sebezhetőséget a CentreStack-ben és a Triofox-ban már korábban is kihasználták egy hardkódolt machine key miatt. A kulccsal rendelkező támadó RCE-t tudott végrehajtani az érintett rendszereken.
A Hunters értesítette a Gladinetet a felfedezésről. A gyártó megerősítette, hogy tud a sebezhetőségről, és amíg nem áll rendelkezésre javítás, tájékoztatja ügyfeleit és az alábbi ajánlásokat tette közzé a CVE-2025-11371 elleni védelem érdekében:
- Tiltsa le az ideiglenes kezelőt (temp handler) az UploadDownloadProxy komponens Web[.]config fájljában:
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config.
- Keresse meg és távolítsa el az ideiglenes kezelőt definiáló sort (a sor a t[.]dn-re mutat).
Ez a sor lehetővé teszi a támadók számára a helyi fájlbeillesztésén keresztüli kihasználást, eltávolítása pedig megakadályozza a CVE-2025-11371 kihasználását. A kutatók arra figyelmeztetnek, hogy a javasolt módosítások a platform bizonyos funkcióit befolyásolhatják, ugyanakkor biztosítják, hogy ezek alkalmazásával a sebezhetőség nem lesz kihasználható.