Les auteurs de menaces exploitent une vulnérabilité zero-day (CVE-2025-11371) dans les produits Gladinet CentreStack et Triofox, qui permet à un attaquant local d’accéder aux fichiers système sans authentification.
Au moins trois entreprises ont été ciblées jusqu’à présent. Bien qu’un correctif ne soit pas encore disponible, les clients peuvent appliquer des mesures d’atténuation.
CentreStack et Triofox sont les solutions d’affaires de Gladinet pour le partage de fichiers et l’accès à distance qui permettent d’utiliser le stockage d’une entreprise en tant que cloud. Selon le fournisseur, CentreStack « est utilisé par des milliers d’entreprises de plus de 49 pays. »
Pas de correctif, toutes les versions affectées
La vulnérabilité zero-day CVE-2025-11371 est une faille d’inclusion de fichiers locaux (LFI) affectant l’installation et la configuration par défaut des deux produits, affectant toutes les versions, y compris la dernière version, 16.7.10368.56560.
Les chercheurs de la plate-forme de cybersécurité gérée Huntress ont détecté le problème de sécurité le 27 septembre lorsqu’un acteur malveillant l’a exploité avec succès pour obtenir une clé de machine et exécuter du code à distance.
Une analyse plus approfondie a révélé que le problème était un LFI exploité pour lire le Web.configurez et extrayez la clé de la machine. Cela a permis à l’attaquant d’utiliser une vulnérabilité de désérialisation plus ancienne (CVE-2025-30406) et de réaliser une exécution de code à distance (RCE) via ViewState.
Le bogue de désérialisation CVE-2025-30406 dans CentreStack et Triofox a également été exploité dans la nature en mars, et était dû à une clé machine codée en dur. Un attaquant connaissant la clé pourrait effectuer RCE sur un système affecté.
« Après une analyse ultérieure, Huntress a découvert l’exploitation d’une vulnérabilité d’inclusion de fichier local non authentifiée (CVE-2025-11371) qui permettait à un acteur malveillant de récupérer la clé de la machine à partir du Web de l’application.fichier de configuration pour exécuter du code à distance via la vulnérabilité de désérialisation ViewState susmentionnée » – Huntress
Huntress a contacté Gladinet pour leur faire part de la découverte. Le fournisseur a confirmé qu’il était au courant de la vulnérabilité et a déclaré qu’il était en train d’informer les clients d’une solution de contournement jusqu’à ce qu’un correctif soit disponible.
Les chercheurs ont partagé l’atténuation avec le client ciblé et publié les recommandations suivantes pour se protéger contre CVE-2025-11371:
- Désactivez le gestionnaire temporaire sur le Web.fichier de configuration pour le composant UploadDownloadProxy à “C:\Program Fichiers (x86) \ Gladinet Cloud Enterprise \ UploadDownloadProxy\Web.configuration”
- Localisez et supprimez la ligne qui définit le gestionnaire temporaire-elle pointe vers t. dn
Cette ligne active la fonctionnalité vulnérable que les attaquants exploitent via l’inclusion de fichiers locaux, de sorte que sa suppression empêche l’exploitation de CVE-2025-11371.
Les chercheurs préviennent que les mesures d’atténuation « auront un impact sur certaines fonctionnalités de la plate-forme », mais s’assurent que la vulnérabilité ne peut pas être exploitée.