La empresa de ciberseguridad Huntress dijo que ha observado una explotación activa en estado salvaje de una equivocación de seguridad sin parchear que afecta Centro de mesa Gladinet y TrioFox productos.
La vulnerabilidad de día cero, rastreada como CVE-2025-11371 (Puntuación CVSS: 6.1), es un error de inclusión de archivos locales no autenticados que permite la divulgación no intencionada de archivos del sistema. Afecta a todas las versiones del software anteriores a la 16.7.10368.56560 incluida.
Huntress dijo que detectó la actividad por primera vez el 27 de septiembre de 2025 y descubrió que tres de sus clientes se han manido afectados hasta ahora.
Vale la pena señalar que ambas aplicaciones se vieron afectadas anteriormente por CVE-2025-30406 (puntuación CVSS: 9.0), un caso de secreto de máquina codificada que podría permitir a un actor de amenazas realizar la ejecución remota de código a través de una vulnerabilidad de deserialización ViewState. Desde entonces, la vulnerabilidad ha sido objeto de explotación activa.
CVE-2025-11371, según Huntress, “permitió a un actor de amenazas recuperar la secreto de la máquina del archivo Web.config de la aplicación para realizar la ejecución remota de código a través de la vulnerabilidad de deserialización ViewState ayer mencionada. Se mantienen ocultos detalles adicionales de la equivocación a la luz de la exploración activa y en desaparición de un parche.
En un caso investigado por la empresa, la interpretación afectada era más nuevo que 16.4.10315.56368 y no era frágil a CVE-2025-30406, lo que sugiere que los atacantes están explotando la nueva equivocación para extraer la secreto de máquina codificada y usarla para ejecutar código de forma remota a través de la equivocación de deserialización ViewState.
Mientras tanto, se recomienda a los usuarios desactivar el regulador “temp” en el interior del archivo Web.config para UploadDownloadProxy situado en “C:Program Files (x86)Gladinet Cloud EnterpriseUploadDownloadProxyWeb.config”.
“Esto afectará algunas funciones de la plataforma; sin incautación, garantizará que esta vulnerabilidad no pueda explotarse hasta que se parchee”, dijeron los investigadores de Huntress Bryan Masters, James Maclachlan, Jai Minton y John Hammond.
Huntress dijo a The Hacker News que ha observado un “puñado de incidentes” que llevaron a un compromiso confirmado como resultado de CVE-2025-11371. La actividad no ha sido atribuida a ningún actor de amenazas, aunque no se ha descartado la posibilidad de que los conjuntos de ataques puedan ser obra del mismo conjunto.
“No está claro si se alcahuetería de los mismos actores de amenazas, pero no me sorprendería, ya que ya estarían familiarizados con este software en particular y podrían poseer opuesto esta nueva vulnerabilidad con un esfuerzo insignificante”, dijo Jamie Levy, director de tácticas adversarias de Huntress.
(La historia se actualizó a posteriori de la publicación para incluir una respuesta de Huntress).
