A Fortra (korábbi nevén HelpSystems) biztonsági frissítéseket adott ki a GoAnywhere MFT License Servlet-ben azonosított, kritikus súlyosságú sebezhetőség javítására. A CVE-2025-10035 azonosítón nyomon követett sérülékenységet a nem megbízható adatok deszerializálása okozza, és a támadók távoli, felhasználói beavatkozást nem igénylő támadásokban parancs injektálásra (command injection) használhatják ki.
A GoAnywhere MFT egy webalapú, felügyelt fájlátviteli eszköz, amelynek célja a fájlok biztonságos továbbítása és az elérések naplózása.
A Fortra közleménye szerint a GoAnywhere MFT License Servlet deszerializációs sebezhetősége lehetővé teszi, hogy egy támadó, aki érvényesnek tűnő, de valójában hamisított licencválasz aláírással rendelkezik, deszerializáljon tetszőleges, általa vezérelt objektumokat, ami parancsok futtatását teheti lehetővé.
A Fortra a Bleepingcomputer-nek azt nyilatkozta, hogy a GoAnywhere interneten keresztül elérhető Admin Console-t használó ügyfelek érintettek a jogosulatlan harmadik fél általi behatolással szemben. A vállalat kiadta a GoAnywhere MFT 7.8.4 és a Sustain Release 7.6.3 verziókat, amelyek tartalmazzák a CVE-2025-10035 javítását. Azoknak a rendszergazdáknak, akik nem tudják azonnal frissíteni a szoftverüket, a Fortra azt tanácsolja, hogy ideiglenesen szüntessék meg a GoAnywhere Admin Console online elérhetőségét.
Bár a CVE-2025-10035 sérülékenységet még nem jelölték meg aktívan kihasználtként, a rendszergazdáknak továbbra is ajánlott a GoAnywhere MFT példányaik frissítése, mivel az MFT fájlátviteli megoldások vonzó célpontok a támadók számára.
