検出

Fortra GoAnywhereのマネージドファイル転送(MFT)< 7.10.0 複数の脆弱性

medium Nessus プラグイン ID 321346

Language:

概要

リモートサーバーで実行されているウェブアプリケーションは複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートホストで実行されているFortra GoAnywhere Managed File Transfer(MFT)のインスタンスは 7.10.0より前です。そのため、以下を含む複数の脆弱性による影響を受けます:

 - Web ユーザーが SSH キーでログインするように構成されている場合、SSH サービスではログイン制限は強制されないため、SSH キーはブルートフォースを介して推測されやすくなります。(CVE-2026-0972、 CVE-2025-14362)

 - ユーザー制御の HTTP ヘッダーにより、攻撃者は DNS 検索、さらに DNS リバインドや情報漏洩を発生させる可能性があります。(CVE-2026-1089)

 - 暗号化された値は静的 IV を利用します。これにより、管理者ユーザーは、データのブルートフォース復号化を行うことができます。(CVE-2025-1241)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Fortra GoAnywhere Managed File Transfer (MFT) 7.10.0 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?b422313d

http://www.nessus.org/u?a197a444

http://www.nessus.org/u?937365f8

http://www.nessus.org/u?9341125a

プラグインの詳細

深刻度: Medium

ID: 321346

ファイル名: fortra_goanywhere_mft_7_10_0.nasl

バージョン: 1.2

タイプ: Combined

エージェント: windows

ファミリー: CGI abuses

公開日: 2026/6/17

更新日: 2026/6/18

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-14362

CVSS v3

リスクファクター: Medium

基本値: 4.9

現状値: 4.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2025-1241

脆弱性情報

CPE: cpe:/a:fortra:goanywhere_managed_file_transfer, cpe:/a:helpsystems:goanywhere_managed_file_transfer

必要な KB アイテム: installed_sw/Fortra GoAnywhere MFT

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/21

脆弱性公開日: 2026/4/21

参照情報

CVE: CVE-2025-1241, CVE-2025-14362, CVE-2026-0971, CVE-2026-0972, CVE-2026-1089