De eerste kwetsbaarheid, CVE-2025-11371, is van toepassing op de Gladinet software. Met deze software kunnen bedrijven bestanden onderling delen. De kwetsbaarheid heeft een score van 7,5 op het Common Vulnerability Scoring System (CVSS). Deze maakt het mogelijk voor een aanvaller om bestanden en mappen te lezen die extern toegankelijk zijn in Gladinet CentreStack en Triofox. Huntress meldde dat er actieve pogingen tot exploitatie zijn gedetecteerd waarbij de kwetsbaarheid werd gebruikt om verkenningscommando’s – zoals ipconfig /all – uit te voeren via Base64-gecodeerde payloads. De exploit stelt aanvallers in staat om zonder authenticatie systeeminformatie te verzamelen.
De tweede kwetsbaarheid, CVE-2025-48703, heeft een CVSS-score van 9,0. Het betreft een command-injection-kwetsbaarheid in Control Web Panel die ongeauthenticeerde remote code execution mogelijk maakt. De aanvalsvector is een shell-metatekeninjectie in de parameter t_total van een filemanager changePerm-verzoek. Hoewel er nog geen publieke meldingen van aanvallen zijn, maakte beveiligingsonderzoeker Maxime Rinaudo de technische details openbaar in juni 2025, kort nadat de leverancier het probleem had verholpen in versie 0.9.8.1205, na een verantwoordelijke melding op 13 mei. Rinaudo legde uit dat de kwetsbaarheid een externe aanvaller die een geldige gebruikersnaam kent in staat stelt willekeurige commando’s op de server uit te voeren vóór authenticatie.
Omdat beide zwakheden actief worden uitgebuit, heeft CISA een deadline van 25 november 2025 vastgesteld voor federale civiele uitvoerende agentschappen (FCEB) om de noodzakelijke patches toe te passen en de risico’s te beperken. Ook het NCSC heeft een advies uitgebracht. De kwetsbaarheden kunnen door NetCaptain worden gedetecteerd.
