Изследователи по киберсигурност съобщават за 0-ден уязвимост (CVE-2025-11371) в продуктите на Gladinet – CentreStack и Triofox, която позволява на локален нападател да получи достъп до системни файлове без необходимата автентикация.

Понастоящем поне три компании са били цел на атаката. Въпреки че официален пач все още не е наличен, Gladinet предоставя временни мерки за смекчаване на риска.

CentreStack и Triofox са бизнес решения за споделяне на файлове и отдалечен достъп, които позволяват на организациите да използват собственото си хранилище като облак. Според компанията, CentreStack се използва от хиляди фирми в над 49 страни.

Какво представлява уязвимостта

CVE-2025-11371 е уязвимост от тип Local File Inclusion (LFI), която засяга всички версии на продуктите, включително последната – 16.7.10368.56560, при стандартна инсталация и конфигурация.

Изследователи от платформата Huntress откриват проблема на 27 септември, когато злонамерен хакер успешно го експлоатира, за да извлече machine key и да изпълни произволен код дистанционно.

Анализът показал, че LFI позволява четене на файла Web.config и извличане на machine key, който след това се използва за експлоатация на по-ранна уязвимост от тип десериализация (CVE-2025-30406) чрез ViewState, водеща до отдалечено изпълнение на код (RCE).

CVE-2025-30406 вече е била експлоатирана в реалния свят през март, като причината бе твърдо зададен machine key. Нападател, който знае ключа, може да изпълни код на засегнатата система.

Huntress коментира:

„След допълнителен анализ, открихме, че експлоатацията на неавтентифицираната LFI уязвимост (CVE-2025-11371) позволява на нападател да извлече machine key от Web.config и да извърши RCE чрез ViewState десериализацията.“

Временно решение и препоръки

Huntress информира Gladinet за уязвимостта, а компанията потвърди, че е наясно с проблема и е уведомила клиентите за временно решение до пускането на пач.

Препоръчителните мерки за смекчаване на риска включват:

1. Деактивиране на temp handler в Web.config за компонента UploadDownloadProxy, намиращ се на:
   C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config

2. Локализиране и премахване на реда, който дефинира temp handler (указващ към t.dn).

Този ред позволява уязвимата функционалност, използвана от нападателите чрез Local File Inclusion. Премахването му предотвратява експлоатацията на CVE-2025-11371, въпреки че Huntress предупреждава, че някои функции на платформата може да бъдат засегнати.