Wiz
Datenbank der SchwachstelleCVE-2025-3871

CVE-2025-3871
GoAnywhere MFT Schwachstellenanalyse und -minderung

Überblick

CVE-2025-3871 is a broken access control vulnerability discovered in Fortra's GoAnywhere MFT versions prior to 7.8.1. The vulnerability was discovered on July 15, 2025, and publicly disclosed on July 16, 2025. This security flaw affects the GoAnywhere One-Time Password (GOTP) email two-factor authentication (2FA) functionality of the software (Fortra Advisory).

Technische Details

The vulnerability is classified as CWE-862 (Missing Authorization) with a CVSS v3.1 base score of 5.3 (Medium severity). The vulnerability vector string is CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L, indicating network accessibility, low attack complexity, no privileges required, no user interaction needed, unchanged scope, and low impact on availability (Fortra Advisory).

Aufprall

When exploited, this vulnerability allows an attacker to create a denial of service situation specifically targeting users configured to use GOTP. If a user has GOTP configured but hasn't set an email address, an attacker can enter the email address of a known user when prompted, resulting in that user being disabled (Fortra Advisory).

Risikominderung und Problemumgehungen

Two mitigation options are available: 1) Ensure all users configured to use GOTP email for 2FA have an email address set beforehand, 2) In situations where email cannot be set ahead of time (e.g., Self-Registration), switch Admin and Web User Templates to use alternative 2FA options such as Time-based One-Time Password or RADIUS. The permanent fix is to update to GoAnywhere MFT version 7.8.1 or higher (Fortra Advisory).

Zusätzliche Ressourcen

QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt GoAnywhere MFT Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

CVE-2025-10035CRITICAL9.8
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
JaJaSep 18, 2025
CVE-2024-11922MEDIUM5.4
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaApr 28, 2025
CVE-2025-3871MEDIUM5.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaJul 16, 2025
CVE-2024-9945MEDIUM5.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaDec 13, 2024
CVE-2025-0049MEDIUM4.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NeinJaApr 28, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement
Demo anfordern