Fortra Lança Correção Crítica para Vulnerabilidade CVSS 10.0 no GoAnywhere MFT

A Fortra divulgou detalhes sobre uma falha crítica de segurança no software GoAnywhere Managed File Transfer (MFT) que pode resultar na execução de comandos arbitrários.

A vulnerabilidade, identificada como CVE-2025-10035, possui pontuação CVSS 10.0, indicando severidade máxima. Trata-se de uma vulnerabilidade de desserialização no License Servlet que permite a um ator com assinatura de licença forjada validada desserializar um objeto controlado arbitrariamente, possivelmente levando à injeção de comandos.

A exploração bem-sucedida depende do sistema estar publicamente acessível pela internet. A empresa recomenda atualizar para a versão corrigida 7.8.4 ou Sustain Release 7.6.3. Se a aplicação imediata do patch não for possível, é aconselhável restringir o acesso público ao Console de Administração do GoAnywhere.

Embora a Fortra não mencione exploração ativa da falha, vulnerabilidades anteriores no mesmo produto (CVE-2023-0669 e CVE-2024-0204) foram exploradas por grupos ransomware. Especialistas alertam que a nova vulnerabilidade afeta o mesmo caminho de código de licença explorado em 2023 e provavelmente será weaponizada em breve, dado que milhares de instâncias do GoAnywhere MFT estão expostas na internet.