CVE-2025-12480
Gladinet Triofox
2025-11-12
Gladinet Triofox contains an improper access control vulnerability that allows access to initial setup pages even after setup is complete.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-12480 в Gladinet Triofox относится к классу некорректного управления доступом (Improper Access Control). Проблема заключается в том, что страницы первоначальной настройки и конфигурации приложения остаются публично доступными даже после того, как процесс установки был полностью завершен. В случае эксплуатации этой уязвимости неавторизованный злоумышленник может получить доступ к этим страницам и переконфигурировать систему, изменить учетные данные администратора, скомпрометировать хранящиеся данные или вызвать отказ в обслуживании (DoS).
Как исправить
Наиболее надежным способом устранения уязвимости является установка официального исправления от разработчика. 1. Сделайте полную резервную копию сервера Gladinet Triofox (снапшот виртуальной машины) и резервную копию базы данных. 2. Перейдите на официальный портал поддержки Gladinet и загрузите последнюю версию продукта, содержащую патч для CVE-2025-12480. 3. Запустите процесс обновления согласно официальной документации вендора. 4. После завершения обновления очистите кэш браузера и попытайтесь вручную перейти по URL-адресам страниц настройки без авторизации, чтобы убедиться, что доступ закрыт (должен возвращаться код 403 Forbidden или 404 Not Found).
Временные меры
Если немедленное обновление системы невозможно, необходимо применить компенсирующие меры защиты на уровне веб-сервера (IIS) или сетевого экрана уровня приложения (WAF).
1. Настройте правила на вашем WAF для блокировки любых внешних HTTP/HTTPS запросов, содержащих в URI пути к страницам установки (например, /setup, /install или конкретные .aspx файлы настройки).
2. Используйте встроенный механизм IIS "Ограничения IP-адресов и доменов" (IP and Domain Restrictions), чтобы разрешить доступ к директории настройки только с локального адреса сервера (127.0.0.1) или доверенных IP-адресов администраторов.
3. Используйте фильтрацию запросов (Request Filtering) в IIS для скрытия или блокировки URL-последовательностей, ведущих к уязвимым страницам.
Пример добавления правила фильтрации запросов в IIS для блокировки доступа к пути setup (выполнять от имени Администратора):
Add-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -filter 'system.webServer/security/requestFiltering/denyUrlSequences' -name '.' -value @{sequence='setup'}
После внесения изменений в конфигурацию IIS рекомендуется перезапустить веб-сервер для гарантированного применения политик:
iisreset
Примечание: Перед применением команд убедитесь, что заблокированный путь (в примере setup) точно соответствует уязвимой директории в вашей инсталляции Triofox, чтобы не нарушить легитимную работу сервиса.