Vulnerabilidades críticas en Wing FTP Server 2025
Vulnerabilidad crítica - 11/07
Introducción
CVE-2025-47812 es una vulnerabilidad de tipo Remote Code Execution (RCE) que permite a un atacante remoto ejecutar código arbitrario en el servidor con privilegios del sistema operativo, incluyendo SYSTEM (Windows) o root (Linux/macOS).
Análisis
CVE-2025-47812 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10
El fallo reside en el tratamiento inseguro del parámetro username durante el proceso de autenticación vía HTTP en la ruta /loginok.html, de tal forma que no valida correctamente la inclusión de un byte nulo (%00). Esto permite al atacante inyectar código Lua en el archivo de sesión (*.lua) del servidor. El código malicioso se ejecuta posteriormente cuando el sistema recarga esa sesión, por ejemplo al acceder a dir.html, momento en el cual se evalúa el contenido del archivo .lua.
Este proceso no requiere autenticación previa si el servidor tiene habilitado el acceso anónimo, lo que amplifica significativamente el vector de ataque.
Versiones afectadas
- Afecta a todas las versiones de Wing FTP Server anteriores a la 7.4.4
Recomendaciones
- Actualizar a la versión 7.4.4 o superior
- Buscar detección bajo el identificador QID 383441 si se es cliente de Qualys o similar
- Al analizar logs, prestar atención a archivos de sesiones .lua anómalos con código Lua inyectado
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.