CVE-2025-14611

Nome do Software Vulnerável e Versões Afetadas Versões do Gladinet CentreStack e do Triofox anteriores a 16.12.10420.56791

Descrição O Gladinet CentreStack e o Triofox utilizam valores hardcoded em sua implementação do esquema de criptografia AES. Isso enfraquece a segurança, particularmente em endpoints expostos publicamente, e permite a inclusão arbitrária de arquivos locais por meio de requisições não autenticadas e especialmente elaboradas. A exploração deste problema pode potencialmente levar ao comprometimento total do sistema, especialmente quando combinada com outras fraquezas existentes. A vulnerabilidade reside na ação filesrv do componente UploadDownloadProxy, onde valores hardcoded são utilizados para criptografia AES. A descriptografia bem-sucedida ou a falsificação de tickets permite que os atacantes baixem arquivos arbitrários da máquina host. Relatos indicam exploração ativa desta falha na natureza, com atacantes utilizando-a para extrair arquivos de configuração sensíveis e potencialmente executar código não autorizado.

Recomendações Atualize o Gladinet CentreStack e o Triofox para a versão 16.12.10420.56791 ou posterior.