GoAnywhere MFT严重漏洞CVE-2025-10035分析:CVSS 10.0,签名绕过之谜
2025-09-25
watchTowr Labs分析了Fortra GoAnywhere MFT中的CVE-2025-10035漏洞,该漏洞的CVSS评分高达10.0。该漏洞是一个反序列化漏洞,攻击者可以通过伪造的License响应签名来反序列化任意对象,从而可能导致命令注入。虽然该漏洞的利用需要系统暴露在互联网上,但watchTowr Labs发现了一种无需身份验证即可获取License请求令牌的方法,从而绕过身份验证。然而,攻击者仍然需要绕过签名的验证才能成功利用该漏洞。文章详细分析了漏洞的利用过程,并提出了几个疑问,例如是否存在未发现的签名绕过方法,或者是否存在已泄露的私钥等。最终,文章提供了一个检测工具来帮助用户检测其系统是否易受此漏洞的影响。
阅读更多