A Gladinet lançou atualizações de segurança para sua solução empresarial CentreStack, corrigindo uma vulnerabilidade do tipo Local File Inclusion (LFI) identificada como
CVE-2025-11371
.
Essa falha tem sido explorada como zero-day desde o final de setembro.
Pesquisadores da plataforma de cibersegurança Huntress divulgaram a atividade de exploração na semana passada, explicando que a vulnerabilidade contorna as medidas mitigadoras implementadas pela Gladinet para uma falha de deserialização que permitia execução remota de código (RCE), registrada como
CVE-2025-30406
.
A vulnerabilidade LFI permitia que invasores lessem o arquivo Web.config em instalações do CentreStack devidamente atualizadas.
Com acesso a esse arquivo, eles conseguiam extrair a machine key e utilizá-la para explorar a falha de deserialização, obtendo execução remota de código.
Após serem alertados sobre os ataques zero-day, a Gladinet ofereceu medidas temporárias para seus clientes enquanto desenvolvia uma correção definitiva.
A atualização de segurança que corrige a
CVE-2025-11371
está disponível na versão 16.10.10408.56683 do CentreStack, e a instalação é altamente recomendada pelos administradores.
Em uma atualização à notificação original, a Huntress forneceu mais detalhes técnicos sobre a
CVE-2025-11371
, incluindo uma prova de conceito simplificada.
A raiz do problema está na falta de sanitização do parâmetro 's=' no handler temp-download, acessível via /storage/t.dn, que permite uma vulnerabilidade de directory traversal.
Como o serviço é executado com a conta NT AUTHORITY\SYSTEM e resolve arquivos relativos à pasta temporária, o invasor pode acessar qualquer arquivo a que essa conta tenha permissão, incluindo o Web.config, que contém a chave ASP.NET da aplicação.
Com essa chave, os atacantes conseguem forjar um payload malicioso no ViewState, que é deserializado pelo servidor devido à vulnerabilidade
CVE-2025-30406
, permitindo a execução remota de código.
Na prática, a Huntress observou requisições HTTP para '/storage/t.dn?s=…' retornando o conteúdo do Web.config, seguidas por payloads codificados em base64 via POST que disparavam a execução de comandos nos sistemas comprometidos.
Foi publicado um exemplo simples, usando PowerShell Invoke-WebRequest, que demonstra como uma requisição não autenticada a '/storage/t.dn?s=…' pode recuperar o arquivo Web.config.
No entanto, os pesquisadores não divulgaram a cadeia completa de exploração, incluindo o exploit de deserialização RCE anterior (
CVE-2025-30406
).
Usuários potencialmente afetados são orientados a atualizar para a versão 16.10.10408.56683 do CentreStack o mais rápido possível.
Caso a atualização não seja viável imediatamente, uma mitigação recomendada é desabilitar o handler temporário no arquivo Web.config, removendo a linha que define o componente UploadDownloadProxy.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...