Una nuova vulnerabilità di sicurezza sta mettendo a rischio migliaia di installazioni dei software Gladinet CentreStack e TrioFox. La falla, identificata come CVE-2025-11371, rappresenta una minaccia concreta per la sicurezza informatica delle aziende che utilizzano queste soluzioni di file sharing e gestione cloud. Secondo quanto riportato da Huntress, sono già stati rilevati casi di sfruttamento attivo di questa vulnerabilità zero-day, che coinvolge tutte le versioni dei software precedenti e comprese la 16.7.10368.56560.

Il problema tecnico

Il problema nasce da una vulnerabilità di tipo local file inclusion (LFI), che consente a un attaccante non autenticato di accedere a file di sistema sensibili. In particolare, questa falla permette agli aggressori di ottenere la machine key dal file Web.config dell’applicazione, aprendo così la strada a una successiva escalation fino a una remote code execution (RCE) tramite una vulnerabilità di deserializzazione ViewState. In pratica, l’attacco parte dalla semplice lettura di file locali e può evolvere fino a consentire l’esecuzione remota di codice malevolo sul server colpito.

Precedenti e rischi persistenti

Non si tratta della prima vulnerabilità critica rilevata in questi prodotti: in passato, una falla identificata come CVE-2025-30406, legata a una machine key hard-coded, aveva già esposto i sistemi a rischi di esecuzione di codice remoto. Tuttavia, la nuova vulnerabilità consente agli attaccanti di replicare lo stesso attacco anche su versioni del software teoricamente aggiornate e non più vulnerabili al problema precedente.

Mitigazione e raccomandazioni

Huntress ha rilevato i primi segnali di attività malevola il 27 settembre 2025, confermando che almeno tre clienti sono già stati colpiti. Gli esperti consigliano, in attesa di una patch ufficiale, di disabilitare il handler "temp" nel file Web.config relativo a UploadDownloadProxy. Questa misura di mitigazione può impattare alcune funzionalità della piattaforma, ma protegge efficacemente dall’exploit fino al rilascio di un aggiornamento risolutivo.

Raccomandazioni per le aziende

Nonostante non sia ancora chiaro se si tratti di un solo gruppo di attaccanti o di più soggetti, è evidente che la conoscenza approfondita del software e delle sue vulnerabilità precedenti ha facilitato la scoperta e lo sfruttamento di questa nuova falla. Per le aziende che utilizzano Gladinet CentreStack o TrioFox, è fondamentale monitorare i propri sistemi, seguire le best practice di sicurezza e applicare tempestivamente le correzioni non appena disponibili.