كشفت شركة الأمن السيبراني Huntress عن رصد استغلال نشط لثغرة أمنية غير مرقّعة تؤثر على منتجات Gladinet CentreStack وTrioFox، مما يمكّن المهاجمين من الوصول إلى ملفات النظام الحساسة، وربما تنفيذ أوامر ضارة عن بُعد في ظروف معينة.
طبيعة الثغرة ومداها
الثغرة، المصنفة تحت المعرف CVE-2025-11371 بدرجة خطورة 6.1 وفق تصنيف CVSS، هي ثغرة تضمين ملفات محلية (Local File Inclusion – LFI) غير موثّقة تتيح كشف ملفات النظام عن غير قصد. تؤثر هذه الثغرة على جميع إصدارات البرامج حتى الإصدار 16.7.10368.56560.
وأشارت Huntress إلى أنها رصدت النشاط لأول مرة في 27 سبتمبر 2025، موضحةً أن ثلاثة من عملائها تعرضوا بالفعل للاختراق نتيجة الاستغلال.
تسلسل الاستغلال وعلاقته بثغرات سابقة
تأتي هذه الثغرة الجديدة بعد أشهر من اكتشاف ثغرة خطيرة سابقة هي CVE-2025-30406 (بدرجة 9.0) والمتعلقة بمفتاح تشفير ثابت مضمَّن داخل الكود (hard-coded machine key) يمكن استخدامه لتنفيذ أوامر عن بُعد عبر ثغرة ViewState deserialization.
وبحسب Huntress، مكّنت الثغرة الأخيرة (CVE-2025-11371) المهاجمين من استرجاع المفتاح الثابت من ملف إعدادات التطبيق (Web.config) ثم استخدامه لتفعيل الاستغلال السابق وتنفيذ أوامر عن بُعد (RCE) على الخادم المستهدف.
وفي إحدى الحالات التي تم التحقيق فيها، تبين أن النسخة المتضررة كانت أحدث من 16.4.10315.56368، أي أنها لا تتأثر مباشرة بالثغرة السابقة، إلا أن المهاجمين استغلوا نسخًا أقدم للحصول على مفتاح الجهاز الثابت، ما أتاح لهم تشغيل التعليمات البرمجية الخبيثة على الخوادم الجديدة عبر نفس آلية ViewState.
توصيات الحماية والإجراءات الوقائية
في ظل غياب تصحيح رسمي حتى الآن، أوصت Huntress المستخدمين بتعطيل المعالج “temp” ضمن ملف الإعدادات Web.config لمسار UploadDownloadProxy الموجود في:
وأوضحت الشركة أن هذا الإجراء قد يؤثر مؤقتًا على بعض وظائف المنصة، لكنه يمنع استغلال الثغرة حتى صدور التصحيح الأمني الرسمي.
ووقع البيان بتوقيع الباحثين برايان ماسترز، جيمس ماكلاكلان، جاي مينتون، وجون هاموند من فريق Huntress.
