انتشار وصله حیاتی برای GoAnywhere MFT با امتیاز ۱۰ در CVSS توسط فورترا

فورترا جزئیات یک نقص امنیتی بحرانی در نرم‌افزار GoAnywhere Managed File Transfer (MFT) را فاش کرده است که می‌تواند منجر به اجرای دستورات دلخواه شود.

این آسیب‌پذیری که با شناسه CVE-2025-10035 ردیابی می‌شود، دارای امتیاز ۱۰ در CVSS است که نشان‌دهنده حداکثر شدت است.

فورترا در یک توصیه‌نامه که روز پنجشنبه ۱۸ سپتامبر ۲۰۲۵ منتشر شد، گفت[۱]: «یک آسیب‌پذیری deserialization در License Servlet نرم‌افزار GoAnywhere MFT به یک عامل با امضای پاسخ مجوز جعلی معتبر اجازه می‌دهد تا یک شیء تحت کنترل عامل دلخواه را deserialize کند که احتمالاً منجر به تزریق دستور می‌شود.»

این شرکت همچنین خاطرنشان کرد که بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری به دسترسی عمومی سیستم از طریق اینترنت بستگی دارد.

به کاربران توصیه می‌شود برای محافظت در برابر تهدیدات احتمالی، سیستم خود را به نسخه وصله شده – نسخه ۷٫۸٫۴ یا نسخه Sustain 7.6.3 – به‌روزرسانی کنند. اگر وصله کردن فوری امکان‌پذیر نیست، توصیه می‌شود اطمینان حاصل شود که دسترسی به کنسول مدیریت GoAnywhere برای عموم آزاد نیست.

فورترا هیچ اشاره‌ای به این نقص که در سطح اینترنت مورد بهره‌برداری قرار گرفته است، نمی‌کند. بااین‌حال، نقص‌های افشاشده قبلی در همان محصول (CVE-2023-0669، امتیاز ۷٫۲ در CVSS) به‌عنوان یک آسیب‌پذیری  روز صفر توسط عاملان باج‌افزار برای سرقت داده‌های حساس مورد بهره‌برداری قرار گرفتند[۲].

سپس، در اوایل سال گذشته، آسیب‌پذیری حیاتی دیگری را در GoAnywhere MFT (CVE-2024-0204، امتیاز ۹٫۸ در CVSS) برطرف کرد که می‌توانست برای ایجاد کاربران جدید مدیر مورد بهره‌برداری قرار گیرد[۳].

رایان دیوهرست، رئیس اطلاعات تهدید پیشگیرانه در watchTowr، در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شد، گفت: «آسیب‌پذیری تازه افشاشده در راهکار GoAnywhere MFT فورترا، همان مسیر کد مجوز در کنسول مدیریت را تحت تأثیر قرار می‌دهد که CVE-2023-0669 قبلی، که به‌طور گسترده توسط چندین گروه باج‌افزار و APT در سال ۲۰۲۳، ازجمله LockBit، مورد بهره‌برداری قرار گرفته بود، تحت تأثیر قرار داد.»

«با هزاران نمونه‌ی GoAnywhere MFT که در اینترنت قرار دارند، تقریباً قطعی است که این مشکل به‌زودی برای بهره‌برداری در سطح اینترنت مورداستفاده قرار خواهد گرفت. درحالی‌که Fortra خاطرنشان می‌کند که بهره‌برداری از این آسیب‌پذیری نیاز به دسترسی خارجی دارد، این سیستم‌ها عموماً از نظر طراحی به اینترنت متصل هستند، بنابراین سازمان‌ها باید فرض کنند که آسیب‌پذیر هستند. سازمان‌ها باید فوراً وصله‌های رسمی را اعمال کنند و اقداماتی را برای محدود کردن دسترسی خارجی به کنسول مدیریت انجام دهند.»

  منابع

[۱] https://www.fortra.com/security/advisories/product-security/fi-2025-012

[۲] https://thehackernews.com/2023/04/fortra-sheds-light-on-goanywhere-mft.html

[۳] https://thehackernews.com/2024/01/patch-your-goanywhere-mft-immediately.html

[۴] https://thehackernews.com/2025/09/fortra-releases-critical-patch-for-cvss.html