Обнаружена и активно эксплуатируется новая уязвимость нулевого дня в продуктах Gladinet CentreStack и TrioFox. Уязвимость, получившая идентификатор CVE-2025-11371, позволяет неаутентифицированному злоумышленнику читать произвольные файлы на сервере. Все версии, включая 16.7.10368.56560 и более ранние, подвержены риску. Официального исправления на данный момент не существует.
Проблема была впервые зафиксирована 27 сентября 2025 года специалистами по кибербезопасности из компании Huntress. На момент публикации отчета было подтверждено как минимум три случая успешной эксплуатации уязвимости против клиентов Huntress. В обнаружении и анализе угрозы приняли участие исследователи Брайан Мастерс, Джеймс Маклахлан, Джай Минтон и Джон Хаммонд.
Атака представляет собой многоступенчатый процесс, который начинается с использования уязвимости локального включения файлов (LFI), оцененной в 6.1 балла по шкале CVSS. На первом этапе злоумышленники эксплуатируют CVE-2025-11371 для доступа к файловой системе сервера. Их основной целью является конфигурационный файл
Получив доступ к
Используя похищенный машинный ключ, злоумышленники эксплуатируют уязвимость десериализации ViewState. Это позволяет им выполнить произвольный код на сервере удаленно (RCE), что фактически означает получение полного контроля над скомпрометированной системой. Таким образом, уязвимость средней степени тяжести становится инструментом для критической атаки.
Метод удаленного выполнения кода не является новым. Он связан с ранее известной критической уязвимостью CVE-2025-30406, имевшей оценку 9.0 по CVSS. Та проблема заключалась в использовании жестко закодированного машинного ключа, который позволял проводить аналогичную атаку через десериализацию ViewState.
Хотя уязвимость CVE-2025-30406 была исправлена в версиях новее 16.4.10315.56368 путем смены жестко закодированного ключа, новая уязвимость CVE-2025-11371 делает этот патч неэффективным. Теперь атакующим не нужен старый ключ — они могут просто украсть новый, сгенерированный системой, и использовать тот же самый вектор атаки для достижения RCE.
В связи с активной эксплуатацией и отсутствием официального патча, компания Huntress воздерживается от публикации полных технических деталей уязвимости, чтобы не спровоцировать массовые атаки.
Для защиты систем администраторам настоятельно рекомендуется применить временное решение. Необходимо вручную отключить обработчик
Данный файл обычно находится по пути
Применение этого обходного пути приведет к нарушению некоторой функциональности платформы. Однако этот шаг является необходимой мерой для предотвращения эксплуатации уязвимости до тех пор, пока производитель не выпустит официальное обновление безопасности.
Изображение носит иллюстративный характер
Проблема была впервые зафиксирована 27 сентября 2025 года специалистами по кибербезопасности из компании Huntress. На момент публикации отчета было подтверждено как минимум три случая успешной эксплуатации уязвимости против клиентов Huntress. В обнаружении и анализе угрозы приняли участие исследователи Брайан Мастерс, Джеймс Маклахлан, Джай Минтон и Джон Хаммонд.
Атака представляет собой многоступенчатый процесс, который начинается с использования уязвимости локального включения файлов (LFI), оцененной в 6.1 балла по шкале CVSS. На первом этапе злоумышленники эксплуатируют CVE-2025-11371 для доступа к файловой системе сервера. Их основной целью является конфигурационный файл
Web.config. Получив доступ к
Web.config, атакующие извлекают из него ключевой элемент — секретный «машинный ключ» (machine key) приложения. Этот ключ является основой для следующего, гораздо более разрушительного этапа атаки. Используя похищенный машинный ключ, злоумышленники эксплуатируют уязвимость десериализации ViewState. Это позволяет им выполнить произвольный код на сервере удаленно (RCE), что фактически означает получение полного контроля над скомпрометированной системой. Таким образом, уязвимость средней степени тяжести становится инструментом для критической атаки.
Метод удаленного выполнения кода не является новым. Он связан с ранее известной критической уязвимостью CVE-2025-30406, имевшей оценку 9.0 по CVSS. Та проблема заключалась в использовании жестко закодированного машинного ключа, который позволял проводить аналогичную атаку через десериализацию ViewState.
Хотя уязвимость CVE-2025-30406 была исправлена в версиях новее 16.4.10315.56368 путем смены жестко закодированного ключа, новая уязвимость CVE-2025-11371 делает этот патч неэффективным. Теперь атакующим не нужен старый ключ — они могут просто украсть новый, сгенерированный системой, и использовать тот же самый вектор атаки для достижения RCE.
В связи с активной эксплуатацией и отсутствием официального патча, компания Huntress воздерживается от публикации полных технических деталей уязвимости, чтобы не спровоцировать массовые атаки.
Для защиты систем администраторам настоятельно рекомендуется применить временное решение. Необходимо вручную отключить обработчик
"temp" в конфигурационном файле Web.config. Данный файл обычно находится по пути
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config. Применение этого обходного пути приведет к нарушению некоторой функциональности платформы. Однако этот шаг является необходимой мерой для предотвращения эксплуатации уязвимости до тех пор, пока производитель не выпустит официальное обновление безопасности.
