PT-2025-27480 · Wing Ftp · Wing Ftp Server
Julien Ahrens
·
Publicado
2025-05-10
·
Atualizado
2026-04-03
·
CVE-2025-47812
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Wing FTP Server anteriores à 7.4.4
Descrição
O Wing FTP Server está vulnerável a uma falha de execução remota de código (RCE) devido ao tratamento inadequado de bytes nulos ('0') na interface web. Isso permite que atacantes injetem código Lua arbitrário em arquivos de sessão do usuário, potencialmente levando à execução de comandos arbitrários do sistema com privilégios do serviço FTP (root ou SYSTEM por padrão). A vulnerabilidade é explorável mesmo com contas FTP anônimas. A exploração ativa desta vulnerabilidade foi observada na natureza, com atacantes tentando obter acesso em nível de sistema e instalar software malicioso. Estima-se que aproximadamente 8.103 instâncias publicamente acessíveis do Wing FTP Server estejam vulneráveis, com cerca de 5.004 possuindo uma interface web exposta.
Recomendações
As versões do Wing FTP Server anteriores à 7.4.4 estão vulneráveis e devem ser atualizadas para a versão 7.4.4 ou posterior imediatamente.
Exploit
Correção
RCE
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wing Ftp Server