Wiz
Base de données de vulnérabilitésCVE-2025-3871

CVE-2025-3871
GoAnywhere MFT Analyse et atténuation des vulnérabilités

Aperçu

CVE-2025-3871 is a broken access control vulnerability discovered in Fortra's GoAnywhere MFT versions prior to 7.8.1. The vulnerability was discovered on July 15, 2025, and publicly disclosed on July 16, 2025. This security flaw affects the GoAnywhere One-Time Password (GOTP) email two-factor authentication (2FA) functionality of the software (Fortra Advisory).

Détails techniques

The vulnerability is classified as CWE-862 (Missing Authorization) with a CVSS v3.1 base score of 5.3 (Medium severity). The vulnerability vector string is CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L, indicating network accessibility, low attack complexity, no privileges required, no user interaction needed, unchanged scope, and low impact on availability (Fortra Advisory).

Impact

When exploited, this vulnerability allows an attacker to create a denial of service situation specifically targeting users configured to use GOTP. If a user has GOTP configured but hasn't set an email address, an attacker can enter the email address of a known user when prompted, resulting in that user being disabled (Fortra Advisory).

Atténuation et solutions de contournement

Two mitigation options are available: 1) Ensure all users configured to use GOTP email for 2FA have an email address set beforehand, 2) In situations where email cannot be set ahead of time (e.g., Self-Registration), switch Admin and Web User Templates to use alternative 2FA options such as Time-based One-Time Password or RADIUS. The permanent fix is to update to GoAnywhere MFT version 7.8.1 or higher (Fortra Advisory).

Ressources additionnelles

SourceCe rapport a été généré à l’aide de l’IA

Apparenté GoAnywhere MFT Vulnérabilités:

Identifiant CVE

Sévérité

Score

Technologies

Nom du composant

Exploit CISA KEV

A corrigé

Date de publication

CVE-2025-10035CRITICAL9.8
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
OuiOuiSep 18, 2025
CVE-2024-11922MEDIUM5.4
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NonOuiApr 28, 2025
CVE-2025-3871MEDIUM5.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NonOuiJul 16, 2025
CVE-2024-9945MEDIUM5.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NonOuiDec 13, 2024
CVE-2025-0049MEDIUM4.3
  • GoAnywhere MFTGoAnywhere MFT
  • cpe:2.3:a:fortra:goanywhere_managed_file_transfer
NonOuiApr 28, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."
David EstlickRSSI
"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."
Adam FletcherChef du service de sécurité
"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités
Demander une démo