Công ty an ninh mạng Huntress cho biết họ đã quan sát thấy việc khai thác chủ động trong thực tế một lỗ hổng bảo mật chưa được vá, ảnh hưởng đến các sản phẩm Gladinet CentreStack và TrioFox.
Lỗ hổng zero-day này, được theo dõi với mã CVE-2025-11371 (điểm CVSS: 6.1), là một lỗi local file inclusion không xác thực cho phép tiết lộ trái phép các tệp hệ thống. Nó ảnh hưởng đến tất cả các phiên bản phần mềm trước và bao gồm cả 16.7.10368.56560.
Huntress cho biết họ lần đầu tiên phát hiện hoạt động này vào ngày 27 tháng 9 năm 2025, và cho đến nay đã có ba khách hàng của họ bị ảnh hưởng.
Điều đáng chú ý là cả hai ứng dụng này trước đây đã bị ảnh hưởng bởi CVE-2025-30406 (điểm CVSS: 9.0), một trường hợp hard-coded machine key có thể cho phép kẻ tấn công thực hiện remote code execution thông qua lỗ hổng deserialization của ViewState. Lỗ hổng này kể từ đó đã bị khai thác tích cực.
Theo Huntress, CVE-2025-11371 "cho phép kẻ tấn công truy xuất machine key từ tệp Web.config của ứng dụng để thực hiện remote code execution thông qua lỗ hổng deserialization của ViewState đã đề cập ở trên. Thông tin chi tiết bổ sung về lỗ hổng này đang được giữ kín do đang bị khai thác tích cực và chưa có bản vá."
Trong một trường hợp được công ty điều tra, phiên bản bị ảnh hưởng mới hơn 16.4.10315.56368 và không dễ bị tổn thương bởi CVE-2025-30406, cho thấy rằng kẻ tấn công có thể khai thác các phiên bản cũ hơn và sử dụng hard-coded machine key để thực thi mã từ xa thông qua lỗ hổng deserialization của ViewState.
Trong thời gian chờ đợi, người dùng được khuyến nghị tắt handler "temp" trong tệp Web.config cho UploadDownloadProxy nằm tại "C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config."
Các nhà nghiên cứu Bryan Masters, James Maclachlan, Jai Minton và John Hammond của Huntress cho biết: "Điều này sẽ ảnh hưởng đến một số chức năng của nền tảng; tuy nhiên, nó sẽ đảm bảo rằng lỗ hổng này không thể bị khai thác cho đến khi nó được vá."
