Hackers estão explorando uma vulnerabilidade zero-day (CVE-2025-11371) nos softwares Gladinet CentreStack e Triofox, permitindo acesso a arquivos do sistema sem autenticação. Até o momento, pelo menos três empresas foram alvo de ataques, e ainda não há patch disponível, embora medidas de mitigação possam ser aplicadas.
Leia também
Quadrilha de ransomware ataca clientes da Salesforce
Quadrilha enriquecedora com deepfakes de famosos em golpe ‘pague só o frete’
CentreStack e Triofox são soluções empresariais da Gladinet para compartilhamento de arquivos e acesso remoto, utilizadas por milhares de organizações em mais de 49 países. Uma falha afeta todas as versões dos produtos, inclusive a mais recente (16.7.10368.56560), comprometendo a instalação padrão e configuração dos sistemas.
Segundo pesquisadores da Huntress, o problema foi detectado no dia 27 de setembro, após um invasor explorar a vulnerabilidade para obter a chave do sistema e executar o código remotamente. O ataque envolve a leitura do arquivo Web.config para extrair a chave da máquina, aproveitando outra vulnerabilidade já conhecida (CVE-2025-30406). Assim, o invasor consegue realizar a execução remota de código por meio de ViewState.
A Caçadora notificou Gladinet, que descobriu o problema e comunicou aos clientes um procedimento para mitigar o risco. A principal recomendação é desabilitar o manipulador temporário no Web.config do componente UploadDownloadProxy, removendo a linha que ativa essa função vulnerável e impedindo o uso do LFI. Os pesquisadores alertam que, apesar da mitigação, parte das funcionalidades da plataforma será impactada.
