小心，Fortra Goanywhere MFT 存在新的严重缺陷

Fortra警告客户，有一个新的身份验证绕过漏洞被追踪为CVE-2024-0204（CVSS评分9.8），该漏洞影响GoAnywhere MFT（托管文件传输）产品。

Fortra GoAnywhere Managed File Transfer是用于安全文件传输、数据加密和合规管理的综合解决方案。它提供了一个集中平台，用于管理和自动化不同系统和应用程序之间的文件传输，从而在整个组织的网络中实现安全和受控的数据移动。

未经授权的用户可以利用漏洞CVE-2024-0204，通过设备的管理门户创建管理员用户。该漏洞由Spark工程咨询公司的Mohammed Eldeeb和Islam Elrfai于2023年12月1日报告。

该漏洞会影响 Fortra GoAnywhere MFT 6.0.1 版本和 Fortra GoAnywhere MFT 7.4.0 及更早版本。Fortra 通过发布 GoAnywhere MFT 7.4.1 解决了该问题。

供应商发布的公告中写道：“升级到7.4.1或更高版本。通过删除安装目录中的InitialAccountSetup.xhtml文件并重新启动服务，也可以在非容器部署中消除该漏洞。对于容器部署的实例，用空文件替换该文件并重新启动。”

Fortra 未发现利用此漏洞的攻击。

2023 年 2 月，Clop 勒索软件组织声称通过利用 Fortra 的 GoAnywhere Managed File Transfer 安全文件传输工具中的另一个零日漏洞 (CVE-2023-0669)，从 130 多个组织窃取了敏感数据。

原文始发于微信公众号（黑猫安全）：小心，Fortra Goanywhere MFT 存在新的严重缺陷