Gladinetは、CentreStackビジネスソリューション向けに、脅威アクターが9月下旬からゼロデイとして悪用していたローカルファイルインクルージョンの脆弱性(CVE-2025-11371)に対応するセキュリティアップデートをリリースしました。
サイバーセキュリティプラットフォームの研究者によると、
Huntressがゼロデイ攻撃を警告した際、Gladinetは顧客向けに緩和策を提供し、パッチの開発を進めていました。
CVE-2025-11371に対応したセキュリティアップデートは、現在CentreStackバージョン16.10.10408.56683で利用可能となっており、管理者はインストールを強く推奨されています。
Huntressは、元の警告の更新で、CVE-2025-11371の技術的詳細をさらに共有しており、最小限の概念実証エクスプロイトも含まれています。
LFI問題の根本原因は、temp-downloadハンドラー(/storage/t.dnで到達可能)がサニタイズ処理に失敗し、’s=’パラメータを受け入れることでディレクトリトラバーサルが可能になる点にあります。
このサービスはNT AUTHORITY\SYSTEMとして実行され、ファイルを一時フォルダー相対で解決するため、この脆弱性により攻撃者はSYSTEMアカウントがアクセスできる任意のファイル(ASP.NETマシンキーを含むWeb.configなど)を読み取ることができます。
出典: Huntress
このキーを使うことで、攻撃者はCVE-2025-30406によりサーバーでデシリアライズされる悪意のあるViewStateペイロードを偽造し、リモートコード実行につなげることができます。
実際にHuntressは、’/storage/t.dn?s=…’へのHTTPリクエストでWeb.configが返され、その後base64エンコードされたPOSTペイロードによってターゲット上でコマンド実行が引き起こされる様子を観測しました。
Huntressは、認証なしで’/storage/t.dn?s=…’にリクエストしてWeb.configを取得できることを示す、1行のPowerShell Invoke-WebRequest例を公開しました。
出典: Huntress
ただし、研究者は以前のデシリアライズRCE(CVE-2025-30406)を含む完全なエクスプロイトチェーンは公開していません。
影響を受ける可能性のあるユーザーは、CentreStackバージョン16.10.10408.56683へのアップグレードを推奨します。
新バージョンのインストールが不可能な場合は、UploadDownloadProxyコンポーネントのWeb.configファイルでtempハンドラーを無効化し、定義している行をファイルから削除することで緩和策となります。
