CVE-2025-10035

Опубликовано: 18 сент. 2025

Источник: nvd

CVSS3: 10

CVSS3: 9.8

EPSS Средний

Описание

A deserialization vulnerability in the License Servlet of Fortra's GoAnywhere MFT allows an actor with a validly forged license response signature to deserialize an arbitrary actor-controlled object, possibly leading to command injection.

Ссылки

https://www.fortra.com/security/advisories/product-security/fi-2025-012
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-10035
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortra:goanywhere_managed_file_transfer:*:*:*:*:*:*:*:*

Версия до 7.6.3 (исключая)

cpe:2.3:a:fortra:goanywhere_managed_file_transfer:*:*:*:*:*:*:*:*

Версия от 7.7.0 (включая) до 7.8.4 (исключая)

EPSS

Процентиль: 98%

0.66018

Средний

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-77

Связанные уязвимости

GHSA-fcfw-g3g2-2588

CVSS3: 10

github

5 месяцев назад

BDU:2025-11633

CVSS3: 10

fstec

5 месяцев назад

Уязвимость приложения для безопасной передачи файлов Fortra (HelpSystems) GoAnywhere MFT, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 98%

0.66018

Средний

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-77