Selon Huntress, des acteurs malveillants exploitent activement CVE-2025-11371, une vulnérabilité de type LFI non authentifiée affectant les produits Gladinet CentreStack et Triofox, avec au moins trois clients impactés et aucune mise à jour corrective disponible à ce stade.
• Nature de la faille: Local File Inclusion (LFI) non authentifiée permettant l’accès à des fichiers locaux sensibles. Les versions touchées incluent également des versions postérieures à 16.4.10315.56368 (celles corrigées pour CVE-2025-30406).
• Chaîne d’attaque: les attaquants extraient la machineKey codée en dur depuis le fichier Web.config situé à C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config, puis exploitent une désérialisation ViewState pour atteindre une exécution de code à distance (RCE). Le SOC de Huntress a observé des charges utiles en base64 exécutées comme processus enfants des serveurs web.
• Mitigation disponible: Gladinet propose de désactiver le mécanisme temporaire en supprimant la ligne du “temp handler” (t.dn) dans le fichier UploadDownloadProxy Web.config, ce qui peut altérer certaines fonctionnalités de la plateforme. Aucun patch n’est disponible à ce jour.
• Impact constaté: exploitation active in-the-wild, avec trois clients confirmés comme affectés.
TTPs observés:
- LFI non authentifiée pour la lecture de fichiers locaux sensibles
- Extraction de la machineKey depuis Web.config
- Désérialisation ViewState menant à une RCE
- Exécution de charges utiles base64 en tant que processus enfants de serveurs web
Type d’article: alerte de sécurité visant à informer d’une exploitation active, détailler la chaîne d’attaque et relayer la mitigation fournie par l’éditeur.
🔗 Source originale : https://www.huntress.com/blog/gladinet-centrestack-triofox-local-file-inclusion-flaw