La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) añadió el lunes una vulnerabilidad de severidad media que afecta a Wing FTP a su catálogo de vulnerabilidades explotadas conocidas, citando evidencia de explotación activa.
La vulnerabilidad, identificada como CVE-2025-47813 con una puntuación CVSS de 4.3, es una falla de divulgación de información que expone la ruta de instalación de la aplicación en determinadas circunstancias.
"Wing FTP Server contiene una vulnerabilidad de generación de mensajes de error con información sensible al usar un valor largo en la cookie UID", afirmó CISA.
La falla afecta a todas las versiones del software anteriores e incluyendo la versión 7.4.3. El problema se solucionó en la versión 7.4.4, lanzada en mayo tras una divulgación responsable por parte del investigador de RCE Security, Julien Ahrens.
Cabe señalar que la versión 7.4.4 también corrige CVE-2025-47812, otra vulnerabilidad crítica en el mismo producto con puntuación CVSS de 10.0, que permite ejecución remota de código. A partir de julio de 2025, esta vulnerabilidad ha sido explotada activamente en entornos reales.
Según detalles compartidos por Huntress en ese momento, los atacantes la han aprovechado para descargar y ejecutar archivos Lua maliciosos, realizar reconocimiento e instalar software de monitoreo y gestión remota.
Ahrens, en un exploit de prueba de concepto publicado en GitHub, señaló que el endpoint en '/loginok.html' no valida correctamente el valor de la cookie de sesión 'UID'. Como resultado, si el valor proporcionado supera la longitud máxima de ruta del sistema operativo subyacente, se genera un mensaje de error que revela la ruta completa del servidor local.
"Los exploits exitosos pueden permitir a un atacante autenticado obtener la ruta local del servidor de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812", agregó el investigador.
Actualmente no hay detalles sobre cómo se está explotando esta vulnerabilidad en entornos reales, ni si se utiliza en combinación con CVE-2025-47812. Ante este nuevo desarrollo, se recomienda a las agencias de la Rama Ejecutiva Civil Federal de EE.UU. aplicar las correcciones necesarias antes del 30 de marzo de 2026.
