La empresa de ciberseguridad Huntress dijo que ha observado una explotación activa en estado salvaje de una error de seguridad sin parche que afecta Centro de mesa Gladinet y TrioFox productos.
La vulnerabilidad de día cero, rastreada como CVE-2025-11371 (Puntuación CVSS: 6.1), es un error de inclusión de archivos locales no autenticados que permite la divulgación no intencionada de archivos del sistema. Afecta a todas las versiones del software anteriores a la 16.7.10368.56560 incluida.
Huntress dijo que detectó la actividad por primera vez el 27 de septiembre de 2025 y descubrió que tres de sus clientes se han conocido afectados hasta ahora.
Vale la pena señalar que ambas aplicaciones se vieron afectadas anteriormente por CVE-2025-30406 (puntuación CVSS: 9.0), un caso de esencia de máquina codificada que podría permitir a un actor de amenazas realizar la ejecución remota de código a través de una vulnerabilidad de deserialización ViewState. Desde entonces, la vulnerabilidad ha sido objeto de explotación activa.
CVE-2025-11371, según Huntress, «permitió a un actor de amenazas recuperar la esencia de la máquina del archivo Web.config de la aplicación para realizar la ejecución remota de código a través de la vulnerabilidad de deserialización ViewState ayer mencionada. Se mantienen ocultos detalles adicionales de la error a la luz de la exploración activa y en marcha de un parche.
En un caso investigado por la empresa, la lectura afectada era más nuevo que 16.4.10315.56368 y no era desvalido a CVE-2025-30406, lo que sugiere que los atacantes están explotando la nueva error para extraer la esencia de máquina codificada y usarla para ejecutar código de forma remota a través de la error de deserialización ViewState.
Mientras tanto, se recomienda a los usuarios desactivar el regulador «temp» internamente del archivo Web.config para UploadDownloadProxy sito en «C:Program Files (x86)Gladinet Cloud EnterpriseUploadDownloadProxyWeb.config».
«Esto afectará algunas funciones de la plataforma; sin retención, garantizará que esta vulnerabilidad no pueda explotarse hasta que se parchee», dijeron los investigadores de Huntress Bryan Masters, James Maclachlan, Jai Minton y John Hammond.
Huntress dijo a The Hacker News que ha observado un «puñado de incidentes» que llevaron a un compromiso confirmado como resultado de CVE-2025-11371. La actividad no ha sido atribuida a ningún actor de amenazas, aunque no se ha descartado la posibilidad de que los conjuntos de ataques puedan ser obra del mismo camarilla.
«No está claro si se prostitución de los mismos actores de amenazas, pero no me sorprendería, ya que ya estarían familiarizados con este software en particular y podrían tener contrario esta nueva vulnerabilidad con un esfuerzo exiguo», dijo Jamie Levy, director de tácticas adversarias de Huntress.
(La historia se actualizó luego de la publicación para incluir una respuesta de Huntress).
