Vulnérabilité GoAnywhere MFT CVE-2025-10035 : Un mystère CVSS 10.0
watchTowr Labs a disséqué CVE-2025-10035, une vulnérabilité critique dans Fortra GoAnywhere MFT avec un score CVSS parfait de 10.0. Cette vulnérabilité de désérialisation permet à un attaquant ayant une signature de réponse de licence falsifiée de désérialiser des objets arbitraires, conduisant potentiellement à une injection de commande. Bien que l'exploitation nécessite une exposition sur Internet, watchTowr Labs a découvert une méthode non authentifiée pour obtenir un jeton de demande de licence, contournant l'authentification. Cependant, un obstacle de vérification de signature persiste. L'analyse détaille le processus d'exploitation, soulevant des questions sur de possibles contournements de signature non découverts ou des clés privées divulguées. Un outil de détection est fourni pour aider les utilisateurs à identifier les instances vulnérables.