Fortra 发布针对 CVSS 10.0 GoAnywhere MFT 漏洞的关键补丁

Fortra 披露了 GoAnywhere 托管文件传输 (MFT) 软件中一个严重安全漏洞的详细信息，该漏洞可能导致执行任意命令。

该漏洞的编号为CVE-2025-10035，CVSS 评分为 10.0，表明其严重程度最高。

Fortra在周四发布的一份公告中表示： “Fortra 的 GoAnywhere MFT 的许可证 Servlet 中存在反序列化漏洞，允许具有有效伪造的许可证响应签名的参与者反序列化任意参与者控制的对象，从而可能导致命令注入。”

该公司还指出，成功利用该漏洞取决于系统是否可以通过互联网公开访问。

建议用户更新到修补版本（版本 7.8.4 或 Sustain 版本 7.6.3），以防范潜在威胁。如果无法立即修补，建议确保 GoAnywhere 管理控制台的访问权限不向公众开放。

DFIR 保留服务
Fortra 并未提及该漏洞是否已被广泛利用。然而，此前披露的同一产品中的缺陷（CVE-2023-0669，CVSS 评分：7.2）已被勒索软件攻击者滥用为零日漏洞，窃取敏感数据。

然后，去年年初，它解决了 GoAnywhere MFT 中的另一个严重漏洞（CVE-2024-0204，CVSS 评分：9.8），该漏洞可能被利用来创建新的管理员用户。

watchTowr 主动威胁情报主管 Ryan Dewhurst 在与 The Hacker News 分享的一份声明中表示：“Fortra 的 GoAnywhere MFT 解决方案中新披露的漏洞影响管理控制台中的许可证代码路径，与早期的 CVE-2023-0669 相同，该漏洞在 2023 年被包括 LockBit 在内的多个勒索软件和 APT 组织广泛利用。”

由于数千个 GoAnywhere MFT 实例暴露在互联网上，该漏洞几乎肯定会很快被利用，用于野外攻击。虽然 Fortra 指出，漏洞利用需要外部暴露，但这些系统通常设计为面向互联网，因此组织应该假设它们存在漏洞。组织应立即应用官方补丁，并采取措施限制对管理控制台的外部访问。