PEACH
Un framework di isolamento del tenant
Database delle vulnerabilitàCVE-2025-3871
CVE-2025-3871:
GoAnywhere MFT Analisi e mitigazione delle vulnerabilità
Panoramica
CVE-2025-3871 is a broken access control vulnerability discovered in Fortra's GoAnywhere MFT versions prior to 7.8.1. The vulnerability was discovered on July 15, 2025, and publicly disclosed on July 16, 2025. This security flaw affects the GoAnywhere One-Time Password (GOTP) email two-factor authentication (2FA) functionality of the software (Fortra Advisory).
Dettagli tecnici
The vulnerability is classified as CWE-862 (Missing Authorization) with a CVSS v3.1 base score of 5.3 (Medium severity). The vulnerability vector string is CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L, indicating network accessibility, low attack complexity, no privileges required, no user interaction needed, unchanged scope, and low impact on availability (Fortra Advisory).
Impatto
When exploited, this vulnerability allows an attacker to create a denial of service situation specifically targeting users configured to use GOTP. If a user has GOTP configured but hasn't set an email address, an attacker can enter the email address of a known user when prompted, resulting in that user being disabled (Fortra Advisory).
Mitigazione e soluzioni alternative
Two mitigation options are available: 1) Ensure all users configured to use GOTP email for 2FA have an email address set beforehand, 2) In situations where email cannot be set ahead of time (e.g., Self-Registration), switch Admin and Web User Templates to use alternative 2FA options such as Time-based One-Time Password or RADIUS. The permanent fix is to update to GoAnywhere MFT version 7.8.1 or higher (Fortra Advisory).
Risorse aggiuntive
Fonte: Questo report è stato generato utilizzando l'intelligenza artificiale
Imparentato GoAnywhere MFT Vulnerabilità:
Valutazione gratuita delle vulnerabilità
Benchmark della tua posizione di sicurezza del cloud
Valuta le tue pratiche di sicurezza cloud in 9 domini di sicurezza per confrontare il tuo livello di rischio e identificare le lacune nelle tue difese.
Richiedi una demo personalizzata
Pronti a vedere Wiz in azione?
"La migliore esperienza utente che abbia mai visto offre piena visibilità ai carichi di lavoro cloud."
David EstlickCISO (CISO)
"Wiz fornisce un unico pannello di controllo per vedere cosa sta succedendo nei nostri ambienti cloud."
Adam FletcherResponsabile della sicurezza
"Sappiamo che se Wiz identifica qualcosa come critico, in realtà lo è."
Greg PoniatowskiResponsabile della gestione delle minacce e delle vulnerabilità