.png)
há 2 semanas
12
Fortra publicou correções para uma vulnerabilidade crítica no software GoAnywhere MFT, que poderia ser explorada para injeção de comandos. O GoAnywhere MFT é uma aplicação corporativa que automatiza e protege a troca de dados entre organizações e seus parceiros comerciais.
Leia também
Planilha e agenda do Google em comunicação de C2
Deepfake já foi usado contra 62% das empresas
Rastreadas como CVE-2025-10035, com pontuação CVSS 10, as falhas envolvem a desserialização de dados não confiáveis no license servlet da aplicação. Atacantes que possuam uma assinatura de licença falsificada podem desserializar objetos controlados por eles, potencialmente permitindo execução remota de código em instâncias vulneráveis do GoAnywhere MFT.
As correções foram publicadas nas versões GoAnywhere MFT 7.8.4 e GoAnywhere MFT Sustain 7.6.3. A Fortra recomenda que o console de administração não esteja exposto publicamente e que clientes monitorem logs de auditoria e mensagens de exceção contendo SignedObject.getObject: para detectar impactos da vulnerabilidade.
Embora não haja registros de exploração ativa ou códigos de exploit públicos, a natureza crítica da falha exige atenção reforçada. Exploração bem-sucedida depende do sistema estar acessível externamente à internet, destacando a importância de controles de exposição e monitoramento contínuo.
Históricos de exploração de vulnerabilidades anteriores no GoAnywhere MFT, como CVE-2023-0669 utilizada por operadores do ransomware Cl0p, reforçam o risco potencial de ataques direcionados e perda de dados em organizações afetadas.
English (US) · 
Portuguese (BR) ·