CVE-2025-11371是Gladinet CentreStack和Triofox文件共享和远程访问平台中的一个未经身份验证的本地文件包含漏洞，正在被野外攻击者利用。

虽然Gladinet已意识到该漏洞及其利用方式，但补丁仍在开发中。与此同时，用户可以（也应该）通过禁用安装的Web.config文件中的处理程序来缓解该漏洞。

Huntress研究人员警告称：“到目前为止，我们已经观察到该漏洞的野外利用影响了三名客户”，并建议使用Gladinet解决方案的组织尽快实施缓解措施。

CentreStack是一个文件共享、同步和远程访问平台，面向托管服务提供商和小型企业。Triofox是一个面向中大型企业的安全文件访问/网关解决方案，允许用户无需使用VPN即可访问文件。

这两种解决方案都可以自行托管、在本地或组织云中托管，或者托管在Gladinet的云中。

根据其CVE条目，CVE-2025-11371会影响最新可用版本16.7.10368.56560以及所有早期版本中Gladinet CentreStack和TrioFox的默认安装和配置。

Huntress于2025年9月27日在客户的CentreStack实例上观察到了CVE-2025-11371漏洞利用，该实例运行的是16.4.10315.56368之后的版本，即修复了CVE-2025-30406的版本，CVE-2025-30406是之前被利用和修补的ViewState 反序列化漏洞。

Huntress的调查人员表示，CVE-2025-11371允许威胁行为者从易受攻击的应用程序的Web.config文件中检索机器密钥，使用它来伪造将通过解决方案完整性检查的ASP.NET ViewState有效负载，并通过导致伪造有效负载的不安全的服务器端反序列化来触发远程代码执行。

Huntress对抗策略主管Jamie Levy向Help Net Security表示：“由于CVE-2025-11371，攻击者无需身份验证即可远程访问文件系统上的任何文件。”

Huntress研究人员指出：“在调查过程中，我们发现有证据表明Gladinet已与共同客户合作实施缓解措施。”

“根据我们的标准漏洞披露政策，Huntress在发现此漏洞后不久就联系了Gladinet披露该漏洞；Gladinet确认已意识到该漏洞，并正在通知客户立即采取解决方法。”

解决此野外利用问题的方法是删除位于C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config 的Web.config文件中的特定行。

研究人员补充道：“这将影响平台的某些功能；但是，这将确保该漏洞在修补之前不会被利用。”

在看到攻击者计划的进一步恶意活动之前，Huntress已经阻止了这次攻击。

在今年早些时候利用CVE-2025-30406的攻击中，攻击者试图下载恶意可执行文件、安装远程访问工具并执行横向移动。