Fortra (formerly, HelpSystems) GoAnywhere MFT suffers from a pre-authentication command injection vulnerability in the License Response Servlet due to deserializing an arbitrary attacker-controlled object. This issue was patched in version 7.1.2.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:HFortra Goanywhere Managed File Transfer
APPFortra< 7.1.2
CISA KEV — szczegółyi
- Dostawcai
- Fortra
- Produkti
- GoAnywhere MFT
- Data dodania do KEVi
- 10 lutego 2023
- Termin remediation (USA)i
- 3 marca 2023(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj aktualizacje zgodnie z instrukcjami dostawcy.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Fortra (wcześniej HelpSystems) GoAnywhere MFT zawiera lukę umożliwiającą zdalne wykonanie kodu (RCE) przed uwierzytelnieniem w License Response Servlet z powodu deserializacji obiektu kontrolowanego przez atakującego.
▸ Pokaż oryginał (EN)
Fortra (formerly, HelpSystems) GoAnywhere MFT contains a pre-authentication remote code execution vulnerability in the License Response Servlet due to deserializing an attacker-controlled object.
Powiązane podatności
Deserialization i command injection w Fortra GoAnywhere MFT (License Servlet)
Pominięcie uwierzytelniania w Fortra GoAnywhere MFT — tworzenie konta admina
The login limit is not enforced on the SFTP service of Fortra's GoAnywhere MFT prior to 7.10.0 if the Web User...
Encrypted values in Fortra's GoAnywhere MFT prior to version 7.10.0 and GoAnywhere Agents prior to version 2.2...
An improper session timeout issue in Fortra's GoAnywhere MFT prior to version 7.10.0 results in SAML configure...