Impatto Sistemico

Critico (75.38)

Sintesi

Disponibili online Proof of Concept (PoC) per 6 nuove vulnerabilità – già sanate dal vendor – presenti in Gladinet TrioFox Server Agent, componente software dedicato che fa da ponte tra i file server Windows on‑premises e la piattaforma cloud di accesso remoto Triofox, consentendo l’accesso remoto e la collaborazione sui file tramite interfacce HTTP/HTTPS senza necessità di VPN tradizionali.

Tipologie

• Authentication Bypass
• Data Manipulation
• Denial of Service
• Information Disclosure
• Remote Code Execution
• Security Restrictions Bypass

Descrizione e potenziali impatti

Disponibili online Proof of Concept (PoC) per 6 nuove vulnerabilità – già sanate dal vendor – presenti in Gladinet TrioFox Server Agent, componente software dedicato che fa da ponte tra i file server Windows on‑premises e la piattaforma cloud di accesso remoto Triofox, consentendo l’accesso remoto e la collaborazione sui file tramite interfacce HTTP/HTTPS senza necessità di VPN tradizionali.

Di seguito il dettaglio delle vulnerabilità.

CVE-2026-8364 : di tipo “ Missing Authentication for Critical Function ” e con score CVSS v3.1 pari a 9.8, è dovuta all’assenza di meccanismi di autenticazione sugli endpoint esposti dal servizio Triofox Server Agent (/resources, /Settings, ecc.). Un attaccante remoto non autenticato potrebbe sfruttare tale vulnerabilità tramite richieste HTTP opportunamente predisposte e dirette agli endpoint esposti (porta 7878), interagendo con le API senza alcun controllo di autenticazione, con possibilità di accesso e manipolazione dei file e dei dati.

CVE-2026-8363 : di tipo “ Stack-based Buffer Overflow ” e con score CVSS v3.1 pari a 9.8, risiede nel componente WOSDeviceDropFolder.dll , ed è dovuta all’uso della funzione sprintf su buffer a dimensione fissa sui quali non vengono effettuati adeguati controlli sui limiti degli stessi. Una richiesta HTTP con un path /resources/<payload> contenente un input eccessivamente lungo controllato dall’attaccante può provocare un crash del servizio (DoS) e/o consentire l’esecuzione di codice arbitrario sul sistema target.

CVE-2026-8362 : di tipo “ Stack-based Buffer Overflow ” e con score CVSS v3.1 pari a 9.8, risiede nel componente WOSDefaultHttpModule.dll , ed è causato da concatenazione non sicura ( wcscat ) dell’input fornito dall’utente su un buffer a dimensione fissa allocato nello stack. Un attaccante remoto potrebbe sfruttare tale vulnerabilità tramite una richiesta HTTP verso /woshome/<payload> contenente stringhe molto lunghe, causando overflow e corruzione dello stack. Le possibili conseguenze includono la compromissione della disponibilità del servizio e l’esecuzione di codice arbitrario sul sistema target.

CVE-2026-8361 : di tipo “ Path Traversal ” e con score CVSS v3.1 pari a 7.5, risiede nel componente WOSDefaultHttpModule.dll , ed è dovuta alla mancata validazione dei percorsi nei path URL, consentendo attacchi di directory traversal (../). Un attaccante potrebbe sfruttare tale vulnerabilità inviando richieste HTTP opportunamente predisposte per accedere a file al di fuori delle directory consentite, con conseguente esposizione di informazioni sensibili.

CVE-2026-8360 : di tipo “ NULL Pointer Dereference ” e con score CVSS v3.1 pari a 7.5, è dovuta al mancato controllo del valore restituito dalla funzione WOSSysInfoGetDeviceInterface() . Un attaccante potrebbe sfruttare tale vulnerabilità tramite richieste HTTP opportunamente predisposte e, in condizioni specifiche (ad esempio in assenza di un utente autenticato nella console di gestione), causare la dereferenziazione di un puntatore NULL, provocando l’indisponibilità del servizio (DoS) sul sistema target.

CVE-2026-8359 : di tipo “ NULL Pointer Dereference ” e con score CVSS v3.1 pari a 7.5, è dovuta all’assenza del modulo WOSHttpStatusModule.dll , con conseguente chiamata a una funzione tramite puntatore NULL. Un attaccante potrebbe sfruttare tale vulnerabilità inviando richieste HTTP verso gli endpoint /status o /sysinfo , che attivano il caricamento del modulo mancante e causano l’esecuzione a indirizzo NULL, provocando l’indisponibilità del servizio (DoS) sul sistema target.

Prodotti e/o versioni affette

Gladinet Triofox Server Agent, versioni precedenti alla 17.1.10488.57063

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti