Goanywhere Managed File Transfer
Уязвимости
13
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
2
Высокий
2
Средний
9
Низкий
0
Затронутые диапазоны версий
7.0.0–7.4.1< 7.1.2< 7.10.0< 7.4.2< 7.6.0< 7.6.3< 7.8.0< 7.9.0
Также сопоставлено как (исходные строки): goanywhere_managed_file_transfer,goanywhere_agents
Топ уязвимостей
CVE-2025-10035Уязвимость десериализации в License Servlet Fortra's GoAnywhere MFT позволяет злоумышленнику с действительной подписью ответа на лицензию создать произвольный объект, контролируемый злоумышленником, что может привести к выполнению команды [1].
Источники:
- [1] https://www.fortra.com/security/advisories/product-security/fi-2025-012
CVE-2024-0204Обход аутентификации в GoAnywhere MFT от Fortra до версии 7.4.1 позволяет несанкционированному пользователю создавать учетную запись администратора через административный портал.
CVE-2025-14362Лимит входа в систему не применяется в SFTP-сервисе Fortra GoAnywhere MFT до 7.10.0, если веб-пользователь, пытающийся войти в систему, настроен на вход с ключом SSH, что делает ключ SSH уязвимым для угадывания через Brute Force.
CVE-2023-0669Fortra (ранее HelpSystems) GoAnywhere MFT страдает от уязвимости инъекции команд без аутентификации в сервлете ответа лицензии из-за десериализации произвольного объекта, контролируемого атакующим. Эта проблема была исправлена в версии 7.1.2.
CVE-2026-1089Управляемый пользователем HTTP-заголовок в Fortra GoAnywhere MFT до версии 7.10.0 позволяет злоумышленникам инициировать поиск DNS, а также DNS Rebinding и Information Disclosure.
CVE-2024-25157Уязвимость обхода аутентификации в GoAnywhere MFT до версии 7.6.0 позволяет пользователям-администраторам с доступом к консоли агента обходить некоторые проверки разрешений при попытке посетить другие страницы. Это может привести к несанкционированному раскрытию или изменению информации.
CVE-2024-25156Уязвимость path traversal существует в GoAnywhere MFT до версии 7.4.2, которая позволяет злоумышленникам обходить проверки разрешений, специфичные для конечной точки, в GoAnywhere Admin и Web Clients.
CVE-2026-0972HTML-инъекция возможна в системных электронных письмах в GoAnywhere от Fortra до 7.10.0.
Примечание: Заголовок, детали и описание этого CVE были исправлены после публикации.
CVE-2024-11922В определенных функциях веб-клиента Fortra's GoAnywhere версий до 7.8.0 отсутствует проверка входных данных, что позволяет злоумышленнику с разрешением на отправку электронных писем внедрять произвольный HTML или JavaScript в письмо. Источники:
- [1] https://www.fortra.com/security/advisories/product-security/fi-2025-005
CVE-2025-1241Зашифрованные значения в Fortra GoAnywhere MFT до версий 7.10.0 и GoAnywhere Agents до версии 2.2.0 используют статический IV, который позволяет пользователям администратора расшифровывать данные.
CVE-2026-0971Неправильная проблема с тайм-аутом сеанса в GoAnywhere MFT Fortra до версии 7.10.0 приводит к тому, что веб-пользователи, настроенные SAML, перенаправляются на обычную страницу входа в систему SAML вместо страницы входа в SAML.
CVE-2025-0049Когда пользователь веб-интерфейса без разрешения на создание подпапок пытается загрузить файл в несуществующий каталог, сообщение об ошибке включает абсолютный путь на сервере, что может быть использовано для анализа приложения путем Fuzzing [1].
Это касается GoAnywhere: версии до 7.8.0.
Источники:
- [1] https://www.fortra.com/security/advisories/product-security/fi-2025-004
CVE-2025-8148Неправильный контроль доступа в службе SFTP в Fortra GoAnywhere MFT до версии 7.9.0 позволяет веб-пользователям с псевдонимом аутентификации и действительным ключом SSH, но ограниченным аутентификацией паролем для SFTP, по-прежнему войти в систему с использованием их SSH-ключа.