BDU:2025-04968

Опубликовано: 03 апр. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость программной платформы для безопасного обмена файлами Gladinet CentreStack связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Gladinet, Inc.

Наименование ПО

Gladinet CentreStack

Версия ПО

до 16.4.10315.56368 (Gladinet CentreStack)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://gladinetsupport.s3.us-east-1.amazonaws.com/gladinet/securityadvisory-cve-2005.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-30406
CVE

EPSS

Процентиль: 99%

0.87943

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-30406

CVSS3: 9

nvd

10 месяцев назад

Gladinet CentreStack through 16.1.10296.56315 (fixed in 16.4.10315.56368) has a deserialization vulnerability due to the CentreStack portal's hardcoded machineKey use, as exploited in the wild in March 2025. This enables threat actors (who know the machineKey) to serialize a payload for server-side deserialization to achieve remote code execution. NOTE: a CentreStack admin can manually delete the machineKey defined in portal\web.config.

GHSA-hgp9-3v5v-223j