Fortra ha revelado detalles de una falla de seguridad crítica en el software GoAnywhere Managed File Transfer (MFT) que podría provocar la ejecución de comandos arbitrarios.
La vulnerabilidad, rastreada como CVE-2025-10035 , tiene una puntuación CVSS de 10,0, lo que indica la máxima gravedad.
«Una vulnerabilidad de deserialización en el servlet de licencias de GoAnywhere MFT de Fortra permite a un actor con una firma de respuesta de licencia falsificada de forma válida deserializar un objeto arbitrario controlado por un actor, lo que podría provocar la inyección de comandos», dijo Fortra dijo en un aviso publicado el jueves.
La compañía también señaló que la explotación exitosa de la vulnerabilidad depende de que el sistema sea de acceso público a través de Internet.
Se recomienda a los usuarios que actualicen a la versión parcheada (la versión 7.8.4 o la versión 7.6.3 de Sustain) para protegerse contra posibles amenazas. Si no es posible aplicar los parches de forma inmediata, es recomendable asegurarse de que el acceso a la consola de administración de GoAnywhere no esté abierto al público.
Fortra no menciona que la falla se esté explotando en la naturaleza. Dicho esto, anteriormente se habían descrito deficiencias en el mismo producto ( CVE-2023-0669 , puntuación CVSS: 7.2) fueron utilizados como un día cero por parte de los actores del ransomware para robar datos confidenciales.
Luego, a principios del año pasado, abordó otra vulnerabilidad crítica en la MFT GoAnywhere ( CVE-2024-0204 , puntuación CVSS: 9,8) que podría haberse aprovechado para crear nuevos usuarios administradores.
«La vulnerabilidad recientemente revelada en la solución GoAnywhere MFT de Fortra afecta a la misma ruta del código de licencia en la consola de administración que la anterior CVE-2023-0669, que fue ampliamente explotada por varios grupos de ransomware y APT en 2023, incluido LockBit», dijo Ryan Dewhurst, director de inteligencia proactiva de amenazas de WatchTowr, en un comunicado compartido con The Hacker News.
«Con miles de instancias de GoAnywhere MFT expuestas a Internet, es casi seguro que este problema pronto se convertirá en un arma para su explotación salvaje. Si bien Fortra señala que la explotación requiere una exposición externa, estos sistemas suelen estar orientados a Internet por su diseño, por lo que las organizaciones deben asumir que son vulnerables. Las organizaciones deben aplicar los parches oficiales de inmediato y tomar medidas para restringir el acceso externo a la consola de administración».