Wiz
Datenbank der SchwachstelleCVE-2025-0049

CVE-2025-0049
GoAnywhere MFT Schwachstellenanalyse und -minderung

Überblick

When a Web User without Create permission on subfolders attempts to upload a file to a non-existent directory, the error message includes the absolute server path which may allow Fuzzing for application mapping. This issue affects GoAnywhere versions before 7.8.0. The vulnerability was discovered on August 2, 2023, and publicly disclosed on April 28, 2025 (Fortra Advisory, NVD).

Technische Details

The vulnerability is classified as CWE-209 (Generation of Error Message Containing Sensitive Information). It has been assigned a CVSS v3.1 base score of 3.5 LOW by Fortra (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N) and 4.3 MEDIUM by NIST (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N). The issue occurs specifically when a Web User without Create permission attempts to upload a file to a non-existent directory, resulting in an error message that exposes the absolute server path (Fortra Advisory).

Aufprall

The vulnerability allows potential attackers to gain knowledge of the server's file system structure through the exposed absolute path information in error messages. This information disclosure could be used for application mapping and potentially assist in further attack planning (Fortra Advisory).

Risikominderung und Problemumgehungen

The primary mitigation is to upgrade to GoAnywhere version 7.8.0 or later. As a workaround, administrators can grant Create permission on Subfolders to Web Users, as this permission would automatically create non-existent directories during upload attempts, preventing the error message from occurring (Fortra Advisory).

Zusätzliche Ressourcen

QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt GoAnywhere MFT Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

CVE-2025-10035CRITICAL9.8
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
JaJaSep 18, 2025
CVE-2024-11922MEDIUM5.4
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaApr 28, 2025
CVE-2025-3871MEDIUM5.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaJul 16, 2025
CVE-2024-9945MEDIUM5.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaDec 13, 2024
CVE-2025-0049MEDIUM4.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaApr 28, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement
Demo anfordern