CVE-2025-30406

Nome do Software Vulnerável e Versões Afetadas Versões do Gladinet CentreStack anteriores a 16.4.10315.56368 Versões do Gladinet Triofox anteriores a 16.4.10317.56372

Descrição Gladinet CentreStack e Triofox são afetados por uma vulnerabilidade de desserialização devido ao uso de um machineKey hardcoded na configuração do portal. Isso permite que atores de ameaças que conhecem o machineKey serializem um payload para desserialização no lado do servidor, obtendo execução remota de código (RCE). A vulnerabilidade tem sido ativamente explorada no mundo real desde março de 2025, com relatos de exploração contra sete organizações e 120 endpoints. As técnicas de exploração observadas incluem PowerShell e MeshRemote, com atividades de pós-exploração como enumeração do host e do ambiente do Active Directory, leitura de arquivos de configuração e download/execução de payloads maliciosos na memória. A vulnerabilidade é rastreada como CVE-2025-30406 e possui uma pontuação CVSS de 9.0 a 9.8. Em alguns casos, mesmo sistemas que pareciam estar corrigidos ainda estavam vulneráveis devido à falha da correção em rotacionar o machineKey.

Recomendações Versões do Gladinet CentreStack anteriores a 16.4.10315.56368: Atualize para a versão 16.4.10315.56368 ou posterior. Alternativamente, exclua manualmente o machineKey definido em portalweb.config. Versões do Gladinet Triofox anteriores a 16.4.10317.56372: Atualize para a versão 16.4.10317.56372 ou posterior. Se a aplicação de correções não estiver imediatamente disponível, rotacione manualmente o machineKey tanto em rootweb.config quanto em portalweb.config, garantindo consistência em implantações com múltiplos servidores e reiniciando o IIS após fazer as alterações.