Fortra Releases Critical Patch for CVSS 10.0 GoAnywhere MFT Vulnerability

Fortra corrige une faille critique dans GoAnywhere MFT

Une vulnérabilité d’une gravité maximale (CVSS 10.0) a été découverte dans le logiciel GoAnywhere Managed File Transfer (MFT) de Fortra. Cette faille, identifiée sous la référence CVE-2025-10035, permet à un attaquant, sous certaines conditions, d’exécuter des commandes arbitraires sur le système. La vulnérabilité réside dans un problème de désérialisation au niveau du module License Servlet. Son exploitation réussie dépend de l’accessibilité publique du système via Internet.

Points Clés :

• Produit affecté : Fortra GoAnywhere Managed File Transfer (MFT).
• Type de vulnérabilité : Désérialisation entraînant une injection de commandes.
• Score CVSS : 10.0 (criticité maximale).
• Condition d’exploitation : Le système doit être accessible publiquement sur Internet.

Vulnérabilités :

• CVE-2025-10035 : Score CVSS 10.0. Permet l’exécution de commandes arbitraires via une désérialisation d’objets contrôlés par un attaquant, après avoir falsifié une signature de réponse de licence.

Recommandations :

• Mise à jour immédiate : Appliquez le correctif de Fortra en passant à la version 7.8.4 ou à la version de maintenance 7.6.3.
• Restriction d’accès : Si une mise à jour immédiate n’est pas possible, assurez-vous que la console d’administration de GoAnywhere n’est pas exposée publiquement sur Internet.

Il est à noter que des vulnérabilités précédentes dans le même produit (notamment CVE-2023-0669 et CVE-2024-0204) ont été exploitées par des acteurs malveillants, y compris des groupes de ransomware et APT. La nouvelle faille est située dans un chemin de code similaire à CVE-2023-0669, ce qui suggère un risque élevé d’exploitation rapide une fois que les attaquants auront identifié les systèmes vulnérables.

Source