Hackers exploram o dia zero no software de compartilhamento de arquivos Gladinet

Picus BAS Summit

Os agentes de ameaças estão explorando uma vulnerabilidade de dia zero (CVE-2025-11371) nos produtos Gladinet CentreStack e Triofox, que permite que um invasor local acesse arquivos do sistema sem autenticação.

Pelo menos três empresas foram visadas até agora. Embora um patch ainda não esteja disponível, os clientes podem aplicar mitigações.

CentreStack e Triofox são as soluções de negócios da Gladinet paracompartilhamento de arquivos e acesso remotoque permitem usar o armazenamento da própria empresa como nuvem. De acordo com o fornecedor, o CentreStack “é usado por milhares de empresas de mais de 49 países”.

Sem correção, todas as versões afetadas

A vulnerabilidade de dia zero CVE-2025-11371 é uma falha de inclusão de arquivo local (LFI) que afeta a instalação e configuração padrão de ambos os produtos, afetando todas as versões, incluindo a versão mais recente, 16.7.10368.56560.

Pesquisadores da plataforma gerenciada de segurança cibernética Huntress detectaram o problema de segurança em 27 de setembro, quando um agente de ameaça o explorou com sucesso para obter uma chave de máquina e executar código remotamente.

Uma análise mais detalhada revelou que o problema era um LFIalavancado para ler o Web.config e extrair a chave do computador. Isso permitiu que o invasor usasse uma vulnerabilidade de desserialização mais antiga (CVE-2025-30406) e alcançasse a execução remota de código (RCE) por meio de Estado de exibição.

O bug de desserialização CVE-2025-30406 no CentreStack e no Triofox também foi explorado em março e foi devido a uma chave de máquina codificada. Um invasor conhecendo a chave pode executar RCE em um sistema afetado.

“Após análise subsequente, a Huntress descobriu a exploração de uma vulnerabilidade de inclusão de arquivo local não autenticado (CVE-2025-11371) que permitia que um agente de ameaça recuperasse a chave da máquina do arquivo Web.config do aplicativo para executar a execução remota de código por meio da vulnerabilidade de desserialização ViewState mencionada acima” –Caçadora

Caçadora entrou em contato com Gladinet para informá-los sobre a descoberta. O fornecedor confirmou que estava ciente da vulnerabilidade e disse que estava no processo de notificar os clientes sobre uma solução alternativa até que um patch esteja disponível.

Os pesquisadores compartilharam a mitigação com o cliente-alvo e publicaram as seguintes recomendações para proteção contra CVE-2025-11371:

  1. Desabilite o manipulador temporário no arquivo Web.config para o componente UploadDownloadProxy em “C:Arquivos de Programas (x86)Gladinet Cloud EnterpriseUploadDownloadProxyWeb.config”
  2. Localize e remova a linha que define o manipulador temporário — ela aponta para t.dn

A linha que precisa ser removida


Picus BAS Summit

O Evento de Validação de Segurança do Ano: O Picus BAS Summit

Junte-se ao Cúpula de Simulação de Violação e Ataque e experimente o Futuro da validação de segurança. Ouça os principais especialistas e veja como BAS alimentado por IA está transformando a simulação de violação e ataque.

Não perca o evento que moldará o futuro da sua estratégia de segurança

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.