Fortraのファイル転送製品「GoAnywhere MFT」に脆弱性

Fortra（旧HelpSystems）のファイル転送ソリューション「GoAnywhere MFT」に脆弱性が明らかとなった。1月のアップデートで修正済みとしている。

現地時間3月14日にセキュリティアドバイザリを公開し、「同7.4.1」および以前のバージョンにパストラバーサルの脆弱性「CVE-2024-25156」が含まれていることを明らかにしたもの。

細工したURLを用いることで、クライアントよりリモートから認証なしに「GoAnywhere」内のページにアクセスすることが可能で、情報漏洩が生じるおそれがあるという。

機密性と完全性における低い影響にとどまるとして、同社では共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.5」、重要度を4段階中、上から3番目にあたる「中（Medium）」とレーティングした。

同社では現地時間1月31日にリリースした「同7.4.2」にて同脆弱性を修正しており、同バージョン以降へ更新するよう利用者に呼びかけている。

なお、同製品では「同7.4.1」より以前のバージョンに深刻な脆弱性も判明している。「GoAnywhere MFT」の脆弱性については、過去にランサムウェアグループなども攻撃の標的としており、注意が必要となる。

（Security NEXT - 2024/03/21 ）ツイート