一、 漏洞 CVE-2025-10035 基础信息
漏洞信息
# GoAnywhere MFT 序列化漏洞
## 概述
Fortra的GoAnywhere MFT产品中存在一个反序列化漏洞,位于License Servlet组件。攻击者若能伪造合法的许可证响应签名,便可反序列化任意由攻击者控制的对象,可能导致命令注入攻击。
## 影响版本
尚未明确具体影响版本,建议用户核查Fortra官方通告或更新日志。
## 细节
漏洞出现在处理许可证响应的License Servlet中,该组件未正确校验反序列化数据的来源和完整性。攻击者通过伪造有效的签名,可触发对恶意构造对象的反序列化,从而在目标系统上执行任意命令。
## 影响
成功利用该漏洞可导致攻击者在受漏洞影响的系统上执行任意命令,进而实现远程代码执行或完全控制目标服务器。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Deserialization Vulnerability in GoAnywhere MFT's License Servlet
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Fortra GoAnywhere MFT 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Fortra GoAnywhere MFT是美国Fortra公司的一款文件传输软件。 Fortra GoAnywhere MFT 存在安全漏洞,该漏洞源于License Servlet反序列化不当,可能导致命令注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-10035 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/h4xnz/CVE-2025-10035-Exploit | POC详情 |
| 2 | Detection for CVE-2025-10035 | https://github.com/rxerium/CVE-2025-10035 | POC详情 |
| 3 | A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection. | https://github.com/ThemeHackers/CVE-2025-10035 | POC详情 |
| 4 | Fortra GoAnywhere MFT contains an insecure deserialization vulnerability in the License Servlet caused by deserializing attacker-controlled objects with a valid forged license response signature, letting attackers perform command injection, exploit requires valid forged license signature. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-10035.yaml | POC详情 |
| 5 | CVE-2025-10035_GoAnywhere Get RCE | https://github.com/orange0Mint/CVE-2025-10035_GoAnywhere | POC详情 |
| 6 | CVE-2025-10035 | https://github.com/B1ack4sh/Blackash-CVE-2025-10035 | POC详情 |
三、漏洞 CVE-2025-10035 的情报信息
- https://www.fortra.com/security/advisories/product-security/fi-2025-011
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-10035
四、漏洞 CVE-2025-10035 的评论
暂无评论