Aanvallers maken actief misbruik van een kwetsbaarheid in file sharing software CentreStack die tot remote code execution kan leiden. Een beveiligingsupdate is nog niet beschikbaar, wel een tijdelijke mitigatie. Dat laat securitybedrijf Huntress weten. Gladinet CentreStack is een oplossing voor het opslaan en delen van bestanden. Volgens het bedrijf maken er duizenden bedrijven in 49 landen gebruik van.

Via de kwetsbaarheid (CVE-2025-11371) kan een aanvaller uiteindelijk de machineKey bemachtigen waarmee remote code execution mogelijk is. Begin april van dit jaar waarschuwden het Amerikaanse cyberagentschap CISA en CentreStack voor actief misbruik van een kritieke kwetsbaarheid, aangeduid als CVE-2025-30406. Het ging om de aanwezigheid van een hardcoded machineKey.

Een aanvaller die de machineKey weet te bemachtigen of voorspellen kan een 'ViewState deserialization' aanval uitvoeren, wat tot het uitvoeren van code op de webserver kan leiden. Details over de aanvallen werden niet gegeven. Huntress meldt dat het eind september succesvol misbruik detecteerde van een CentreStack-omgeving die volledig up-to-date was. Verder onderzoek wees uit dat het om een nieuwe kwetsbaarheid ging, aangeduid als CVE-2025-11371.

Het gaat om een Local File Inclusion kwetsbaarheid waardoor een aanvaller de machineKey kan bemachtigen en uiteindelijk code kan uitvoeren. CentreStack werkt aan een update en zou inmiddels een tijdelijke mitigatie aan klanten hebben gerapporteerd. Deze oplossing heeft wel impact op het functioneren van de software. Zolang er geen beveiligingsupdate beschikbaar is wil Huntress geen verdere informatie over de kwetsbaarheid en aanvallen geven.