Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección de comandos en GoAnywhere MFT de Fortra

Fecha de publicación 22/09/2025
Identificador
INCIBE-2025-0511
Importancia
5 - Crítica
Recursos Afectados

GoAnywhere MFT.

Descripción

Frotra ha publicado una vulnerabilidad de severidad critica que podría permitir a un atacante realizar una inyección de comandos.

Solución

Actualizar a la última versión versión 7.8.4 o la Sustain Release 7.6.3.

Detalle

CVE-2025-10035: vulnerabilidad de deserialización en el servlet. Esta podría permitir que un actor con una firma de respuesta de licencia falsificada deserializar un objeto arbitrario, lo que llevaría a la inyección de comandos. En caso de que los archivos de registro que contengan 'SignedObject.getObject' es probable que la instancia se haya visto afectada por esta vulnerabilidad.

CVE
Explotación
No
Fabricante
fortra
Identificador CVE
CVE-2025-10035
Severidad
Crítica
Listado de referencias
Deserialization Vulnerability in GoAnywhere MFT's License Servlet
Etiquetas