كشفت شركة Fortra عن ثغرة أمنية بالغة الخطورة في برنامج GoAnywhere Managed File Transfer (MFT) قد تتيح للمهاجمين تنفيذ أوامر عشوائية، ما يعرض مؤسسات عديدة لخطر سرقة البيانات وتعطيل الخدمات الحيوية.
ثغرة قصوى الخطورة
تحمل الثغرة الرمز CVE-2025-10035 وتقييمًا كاملاً على مقياس CVSS (10.0)، ما يعكس أقصى درجات الخطورة. وأوضحت Fortra أن الخلل يظهر في License Servlet، حيث يمكن لمهاجم قادر على تزوير توقيع استجابة الترخيص أن يمرّر كائنًا يتحكم به، ما قد يؤدي إلى حقن وتنفيذ أوامر على النظام. وأشارت الشركة إلى أن الاستغلال يتطلب أن يكون النظام متاحًا للعامة عبر الإنترنت.
تحديثات عاجلة وتدابير مؤقتة
دعت Fortra العملاء إلى التحديث فورًا إلى الإصدار 7.8.4 أو إصدار Sustain Release 7.6.3 لسد الثغرة. وإن تعذّر التطبيق الفوري، فنُصحت المؤسسات بعدم ترك وحدة تحكم الإدارة (Admin Console) متاحة للعامة كحل تخفيفي مؤقت.
سجل المنتج وتحذيرات الباحثين
لم تؤكد Fortra حتى الآن رصد استغلال حقيقي للثغرة، لكن سجل GoAnywhere يظهر ثغرات سابقة استُغلت فعليًا؛ من ذلك CVE-2023-0669 التي استُخدمت في هجمات فدية عام 2023، وثغرة أخرى في أوائل 2024 (CVE-2024-0204) كانت تتيح إنشاء حسابات مسؤولي نظام. وحذر باحثون من أن آلاف نسخ GoAnywhere مكشوفة للإنترنت، ما يجعل احتمالية استغلال CVE-2025-10035 كبيرة إذا لم تُطبّق التصحيحات وتُقيّد الوصول الخارجي.
