ثغرة أمان في GoAnywhere MFT CVE-2025-10035: لغز CVSS 10.0
حلل مختبر watchTowr Labs الثغرة الأمنية CVE-2025-10035، وهي ثغرة خطيرة في نظام نقل الملفات المُدار GoAnywhere MFT من شركة Fortra، حيث حصلت على درجة CVSS مثالية تبلغ 10.0. هذه الثغرة هي ثغرة في عملية إلغاء التجميع تسمح للمهاجم الذي لديه توقيع استجابة ترخيص مزور بإلغاء تجميع كائنات عشوائية، مما قد يؤدي إلى حقن الأوامر. في حين أن استغلال هذه الثغرة يتطلب أن يكون النظام مكشوفًا على الإنترنت، إلا أن مختبر watchTowr Labs اكتشف طريقة للتحقق من صحة رمز طلب الترخيص دون الحاجة إلى المصادقة، مما يتجاوز عملية المصادقة. ومع ذلك، لا يزال هناك عائق وهو التحقق من التوقيع. تحليلنا مفصل لعملية الاستغلال، ويثير أسئلة حول طرق تجاوز التوقيع التي لم تكتشف بعد أو مفاتيح خاصة مسربة. كما تم توفير أداة للكشف لمساعدة المستخدمين في تحديد الحالات المعرضة للخطر.