[English]In der Filetransfer-Software GoAnywhere MFT von Fortra wurde bereits am 11. September 2025 eine als kritisch eingestufte Schwachstelle entdeckt. Der Hersteller hat inzwischen ein Update bereitgestellt, um die Schwachstelle zu beseitigen und den Filetransfer wieder sicherer zu machen.
GoAnywhere MFT von Fortra bietet laut Herstelle sichere FTP-Funktionen für Unternehmen zum Schutz ihrer Dateien. Es sei eine einfache Verbindung zu externen Cloud- und Webanwendungen möglich, wird geworben.
Zum 11. September 2025 wurde eine Deserialisierungslücke im Lizenz-Servlet von Fortras GoAnywhere MFT gefunden. Diese ermöglicht es einem Angreifer mit einer gültig gefälschten Lizenzantwort-Signatur, ein beliebiges vom Angreifer kontrolliertes Objekt zu deserialisieren. Dies kann möglicherweise zu einer Befehlsinjektion führen.
Die Schwachstelle CVE-2025-10035 wurde mit einem CVSS 3.1 Score von 10.0 versehen und ist als kritisch eingestuft. Der Hersteller hat diesen Sicherheitshinweis dazu veröffentlicht.
Nutzer sollen unverzüglich sicherstellen, dass der Zugriff auf die GoAnywhere Admin Console nicht öffentlich möglich ist. Denn die Ausnutzung dieser Schwachstelle hängt in hohem Maße davon ab, dass Systeme extern per Internet erreichbar sind.
Weiterhin sollte ein Upgrade auf eine gepatchte Version (die neueste Version 7.8.4 oder die Sustain Release 7.6.3) erfolgen. (via)
MVP: 2013 – 2016
