Fortra - CVE-2025-14362
Date de publication :
Il s'agit d'une vulnérabilité dans le service SFTP de GoAnywhere MFT.
GoAnywhere MFT est une solution de transfert de fichiers managé (Managed File Transfer) développée par Fortra. Elle permet l'automatisation et la sécurisation des échanges de fichiers entre systèmes, partenaires et utilisateurs via des protocoles standards tels que SFTP, FTPS, HTTPS et AS2.
La limite de tentatives de connexion n'est pas appliquée sur ce service lorsqu'un Web User est configuré pour s'authentifier via une clé SSH. Cette absence de contrôle du nombre de tentatives d'authentification expose la clé SSH à des attaques par force brute menées depuis le réseau sans aucune authentification préalable. Un attaquant peut ainsi soumettre un volume illimité de tentatives de connexion pour deviner la clé, sans déclenchement de blocage ni d'alerte.
Elle permet un contournement de la politique de sécurité et une atteinte à la confidentialité, à l'intégrité et à la disponibilité des données transitant par le service.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-307 : Improper Restriction of Excessive Authentication Attempts
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
GoAnywhere MFT versions antérieures à 7.10.0