Gladinet CentreStack/Triofox: vulnerabilità LFI CVE-2025-11371 consente Remote Code Execution, exploit e patch immediata
A ottobre 2025 è stata scoperta la vulnerabilità CVE-2025-11371 (CVSS 6.1) nei prodotti Gladinet CentreStack e Triofox: una falla di tipo unauthenticated local file inclusion (LFI), che consente a chiunque di leggere file arbitrari tramite l’endpoint UploadDownloadProxy.
Dato che nel file Web.config di ASP.NET è contenuta la machine key, un attaccante può reperire questa e costruire payload ViewState validi, attivando quindi la deserializzazione remota del server già colpito da una più vecchia vulnerabilità (CVE-2025-30406), ottenendo così remote code execution (RCE).
Gli attacchi sono stati osservati in the wild dal 27 settembre 2025, con almeno tre clienti colpiti confermati da Huntress e altri team di ricerca. Anche versioni che già erano state aggiornate per CVE-2025-30406 risultano vulnerabili tramite questa nuova catena di exploit, che reintroduce la superficie d’attacco anche su istanze “patchate”.
Il rischio reale quindi è elevato: la combinazione di LFI → furto della machine key → RCE permette il takeover completo, basse barriere tecniche e nessun bisogno di autenticazione.
Mitigazioni e Patch:
- 14 ottobre 2025: Gladinet ha rilasciato la versione aggiornata 16.10.10408.56683 che chiude la falla.
- Mitigazione temporanea: rimuovere la linea “temp handler” dal Web.config (UploadDownloadProxy) per bloccare la raggiungibilità della chiave; questa azione può limitare alcune funzionalità ma impedisce l’exploit fino all’aggiornamento.
- Consigli aggiuntivi: revisionare i log per tentativi di lettura anomala via API/endpoint UploadDownloadProxy, segmentare i servizi CentreStack/Triofox dagli altri asset di rete e ruotare le chiavi se compromesse.
Conclusione:
L’utilizzo combinato di vulnerabilità banali (LFI) e difetti legacy nelle configurazioni crittografiche può comportare la compromissione estesa — è quindi obbligatorio intervenire subito con patch, hardening e monitoraggio sistematico delle istanze Gladinet.