Wing FTP Server CVE-2025-47812/47813: RCE a CVSS 10 sfruttata in attacchi reali, CISA aggiunge la disclosure flaw al KEV
Wing FTP Server è colpito da due vulnerabilità correlate. La CVE-2025-47812 (CVSS 10.0) è una flaw di Code Injection tramite null-byte nel campo username: iniettando un carattere %00 seguito da codice Lua, un attaccante con accesso minimo (anche account anonimo) può scrivere ed eseguire file Lua arbitrari sul server, ottenendo accesso root/SYSTEM. Secondo Huntress, lo sfruttamento attivo è stato rilevato il 1° luglio 2025, un solo giorno dopo la pubblicazione del write-up tecnico, con download di file Lua malevoli, attività di ricognizione e installazione di tool di accesso remoto per mantenere la persistenza.
La CVE-2025-47813 (CVSS 4.3) è una Information Disclosure che espone il percorso di installazione locale del server: apparentemente minore, viene usata come stepping stone per rendere più precisi gli exploit di CVE-2025-47812. Il 16 marzo 2026 la CISA ha inserito CVE-2025-47813 nel catalogo KEV, confermandone lo sfruttamento attivo, e la scadenza per le agenzie federali è fissata al 30 marzo 2026. L'aggiornamento dell'alert ACN del 18 marzo ha aggiunto il tag "Exploited" a entrambe le CVE.
Versioni affette: Wing FTP Server < 7.4.4 (Windows, Linux, macOS).
Azione raccomandata: aggiornare immediatamente alla versione 7.4.4 o superiore.