-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Fortra's GoAnywhere MFT
Advisory ID     : NCSC-2025-0295
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-10035
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Neutralization of Special Elements used in a
                  Command ('Command Injection')
                  Deserialization of Untrusted Data
Uitgiftedatum   : 20250919
Toepassing      : Fortra GoAnywhere MFT
Versie(s)       :
Platform(s)     :

Beschrijving
   Fortra heeft een kwetsbaarheid verholpen in GoAnywhere MFT (Specifiek
   voor de License Servlet).

   De kwetsbaarheid bevindt zich in de deserialisatie van een
   gecontroleerd object binnen de License Servlet. Een aanvaller kan een
   vervalste licentie-respons handtekening gebruiken om command
   injection uit te voeren, wat kan leiden tot ongeautoriseerde
   commando-uitvoering binnen de applicatie.
   Misbruik kan plaatsvinden via de Admin-interface middels een vervalst
   licentie-response. Het is goed gebruik een dergelijke interface niet
   publiek toegankelijk te hebben, maar af te steunen in een separate
   beheeromgeving.

Mogelijke oplossingen
   Fortra heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://www.fortra.com/security/advisories/product-
      security/fi-2025-012

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmjNTAsACgkQytTOqyR+
cF+s0Av+P+Z7RH53jTeY1rIW3NyXN9oiAIX/bI8cOf/3zxka7ptNa95MwvNaggVp
EDuk3Xa9oN+dlGPgbR6GWgMo8WMwIJkcdkSpZL70cK0RO3wH40ur83waX9UuTsBp
GaiQrsXYWsnUGiQ0KF3L0/zy9+vQMp8NbqTtVLYSXWYULW/AcXLTFntrYkGsySP/
Tw06RQBGSMPDo9seTfYg6oip0hM5O1vuw9mO8e6m0jgGmrSufMDqKZnUoufUeHKB
CtgZF4VgINmdSBGqJBlSYvc4blLf7Fm5rsbH3R6wE4OTKKrNpp8nmiyufdns6J24
iq1b8Fu2J0JDKbl1P71nY8Konl9xzbC2FgqNyrKZnhBiL9pJtwE+xV3xf8o1NKrV
3XyifBT73Gz8wxlVxmrmFIDeSr8LAOHIRr6oBI34wzY2MXMvOTHLfHhlTn2c60tV
PGqnLr3EsVh+OZ6FJRI6Ypr4Tux/m2lyEjyUwI162O0acdfSqzf3Rnqnu+b7whyW
xLGKipZT
=K+UO
-----END PGP SIGNATURE-----