Один файл — полный доступ: Для эксплуатации 0Day в Gladinet достаточно одного параметра. Обновление уже доступно

leer en español

Gladinet CentreStack Huntress LFI RCE zero-day
Один файл — полный доступ: Для эксплуатации 0Day в Gladinet достаточно одного параметра. Обновление уже доступно
Gladinet CentreStack Huntress LFI RCE zero-day

CentreStack оказался уязвим даже после исправлений.

image

Gladinet выпустила обновление безопасности для корпоративного решения CentreStack, устраняющее уязвимость локального включения файлов (LFI) CVE-2025-11371 (оценка CVSS: 6.2). Этой уязвимостью злоумышленники активно пользовались с конца сентября как нулевым днём (zero-day), чтобы обойти ранее внедрённые меры защиты от другой уязвимости — CVE-2025-30406 (оценка CVSS: 9.8), связанной с десериализацией и удалённым выполнением кода.

Суть проблемы заключалась в том, что через обработчик временных загрузок по адресу /storage/t.dn можно было передать параметр s= с обходом директорий. Из-за недостаточной фильтрации входных данных атакующий мог получить доступ к любому файлу, доступному для системного аккаунта NT AUTHORITY\SYSTEM, включая Web.config. Этот файл содержит machine key, который позволял сформировать поддельный ViewState и снова задействовать CVE-2025-30406 для запуска произвольного кода на сервере.

Специалисты Huntress зафиксировали атаки в реальных условиях: сначала отправлялись GET-запросы к /storage/t.dn?s=..., получался Web.config, а затем шли POST-запросы с полезной нагрузкой, вызывающей выполнение команд. В опубликованном примере на PowerShell показано, что даже неаутентифицированный запрос способен вернуть содержимое Web.config.

Обновление, закрывающее CVE-2025-11371, доступно в версии CentreStack 16.10.10408.56683. Администраторам рекомендовано как можно скорее установить эту версию. Если обновление невозможно, временной мерой может стать отключение уязвимого обработчика, удалив строку с его определением из Web.config для компонента UploadDownloadProxy.

Хотя Huntress представила PoC-эксплоит, полная цепочка эксплуатации, включая детали использования CVE-2025-30406, опубликована не была. Разработчик сообщил, что после получения уведомления от Huntress были выпущены временные меры защиты, а затем и полноценное исправление. Специалисты продолжают отслеживать активность и советуют администраторам проверять обращения к /storage/t.dn в логах доступа.