Résumé
Le 29 septembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a alerté d’une faille critique dans Fortra GoAnywhere MFT, un logiciel utilisé par les entreprises pour transférer des fichiers de manière sécurisée.
Référencée sous CVE-2025-10035, cette vulnérabilité permet à un attaquant de contourner la sécurité en utilisant une licence falsifiée pour injecter et exécuter des commandes sur le serveur, même sans être authentifié. Cela peut mener à une prise de contrôle totale du système, y compris le vol ou la modification des données.
Solutions
Il est recommandé de mettre à jour Fortra GoAnywhere MFT vers la version 7.8.4 ou ultérieure, ou 7.6.3 pour la version Sustain, afin de corriger cette faille.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 10
EPSS : 81.06%
Risques :
Exécution de code arbitraire à distance, compromission totale du système, exfiltration de données
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Fortra GoAnywhere MFT versions antérieures à 7.8.4 et 7.6.3 (Sustain)
Documentation
- Bulletin de sécurité Sudo
https://www.sudo.ws/security/advisories/chroot_bug/
- Nist Detail CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-32463
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-32463/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-32463
- CWE
https://www.cvedetails.com/cwe-details/502/Deserialization-of-Untrusted-Data.html