Selon Horizon3.ai (attaque research), un zero‑day CVE‑2025‑11371 est activement exploité contre Gladinet CentreStack et Triofox, affectant toutes les versions jusqu’à 16.4.10315.56368 et antérieures. 🚨 La faille est une LFI non authentifiée permettant la lecture arbitraire de fichiers, l’exfiltration de la machineKey et la forge de ViewState signés pour obtenir une exécution de code à distance (RCE). Aucun patch n’est disponible à ce stade.
Détails techniques clés:
- Vulnérabilité: Local File Inclusion non authentifiée au sein de l’application web.
- Chaîne d’attaque:
- Lecture de Web.config via la LFI,
- Extraction de la machineKey,
- Forge de payloads ViewState signés,
- Désérialisation côté serveur aboutissant à la RCE.
Mesures de mitigation temporaires mentionnées:
- Désactiver/supprimer le temp handler dans UploadDownloadProxy\Web.config à l’emplacement:
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config(cela impacte des fonctionnalités). - Lancer des tests Rapid Response pour vérifier l’exposition et mettre en place des procédures de threat hunting.
Pistes de détection et forensique:
- Rechercher dans les journaux web des accès à Web.config (indicateur de disclosure).
- Surveiller des processus enfants suspects de w3wp.exe.
Type d’article: alerte technique / vulnérabilité zero‑day visant à documenter la faille, sa chaîne d’exploitation et les contournements disponibles.
🔗 Source originale : https://horizon3.ai/attack-research/vulnerabilities/cve-2025-11371/