CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-47812

RCE w Wing FTP Server — wstrzyknięcie kodu Lua przez bajt NULL

CVSS 10.0v3.1pub. 2025-07-10upd. 2025-11-05

Wing FTP Server przed wersją 7.4.4 zawiera krytyczną podatność umożliwiającą zdalne wykonanie dowolnych poleceń systemowych (RCE) z uprawnieniami usługi FTP (root lub SYSTEM). Błąd jest aktywnie wykorzystywany przez atakujących i gwarantuje pełne przejęcie serwera.

Pokaż oryginał (EN)

In Wing FTP Server before 7.4.4. the user and admin web interfaces mishandle '\0' bytes, ultimately allowing injection of arbitrary Lua code into user session files. This can be used to execute arbitrary system commands with the privileges of the FTP service (root or SYSTEM by default). This is thus a remote code execution vulnerability that guarantees a total server compromise. This is also exploitable via anonymous FTP accounts.

🤖 Analiza AI
Jak działa

Interfejsy webowe panelu użytkownika i administratora Wing FTP Server nieprawidłowo obsługują bajty NULL ('\0'). Atakujący może wykorzystać ten błąd do wstrzyknięcia dowolnego kodu Lua do plików sesji użytkownika. Wstrzyknięty kod Lua jest następnie wykonywany w kontekście usługi FTP, co pozwala na uruchomienie dowolnych poleceń systemowych. Co istotne, podatność można wykorzystać również przez anonimowe konta FTP — bez konieczności posiadania jakichkolwiek danych uwierzytelniających.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnych poleceń systemowych z uprawnieniami root (Linux) lub SYSTEM (Windows), co oznacza całkowite przejęcie kontroli nad serwerem, w tym dostęp do danych, konfiguracji i dalszą eskalację w sieci.

Mitygacja

Należy natychmiast zaktualizować Wing FTP Server do wersji 7.4.4 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy rozważyć wyłączenie anonimowego dostępu FTP oraz ograniczenie dostępu do interfejsów webowych na poziomie firewalla. Patch dostępny u producenta pod adresem www.wftpserver.com.

Kogo dotyczy

Wing FTP Server we wszystkich wersjach przed 7.4.4 (dotyczy zarówno instalacji na systemach Linux, jak i Windows).

Uwagi

Podatność jest aktywnie exploitowana i figuruje w katalogu CISA KEV. Szczególnie niebezpieczna ze względu na możliwość wykorzystania przez anonimowe konta FTP (brak wymogu uwierzytelnienia) oraz domyślne uruchamianie usługi z najwyższymi uprawnieniami systemowymi. Szczegółowa analiza techniczna dostępna pod adresem rcesecurity.com.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Wftpserver Wing Ftp Server

    APP
    Wftpserver
    < 7.4.4

CISA KEV — szczegółyi

Dostawcai
Wing FTP Server
Produkti
Wing FTP Server
Data dodania do KEVi
14 lipca 2025
Termin remediation (USA)i
4 sierpnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych lub zaniechaj korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Wing FTP Server zawiera lukę w niewłaściwej neutralizacji znaku null byte lub NUL, która może pozwolić na wstrzyknięcie arbitralnego kodu Lua do plików sesji użytkownika. Może to być wykorzystane do wykonania arbitralnych poleceń systemowych z uprawnieniami usługi FTP (root lub SYSTEM domyślnie).

tłumaczenie AI
Pokaż oryginał (EN)

Wing FTP Server contains an improper neutralization of null byte or NUL character vulnerability that can allow injection of arbitrary Lua code into user session files. This can be used to execute arbitrary system commands with the privileges of the FTP service (root or SYSTEM by default).

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 4 sierpnia 2025
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-44403HIGH8.6ten sam produkt

Wing FTP Server before 8.1.3 contains an authenticated remote code execution vulnerability in the session seri...

CVE-2019-25267HIGH8.5ten sam produkt

Wing FTP Server 6.0.7 contains an unquoted service path vulnerability that allows local attackers to potential...

CVE-2020-37032HIGH8.6ten sam produkt

Wing FTP Server 6.3.8 contains a remote code execution vulnerability in its Lua-based web console that allows ...

CVE-2025-5196HIGH7.5ten sam produkt

A vulnerability has been found in Wing FTP Server up to 7.4.3 and classified as critical. Affected by this vul...

CVE-2020-8635HIGH7.8ten sam produkt

Wing FTP Server v6.2.3 for Linux, macOS, and Solaris sets insecure permissions on installation directories and...

CVE-2025-47812 — RCE w Wing FTP Server — wstrzyknięcie kodu Lua przez bajt NULL — CRITICAL 10.0 | CVEbaza.pl