Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) повысило уровень предупреждения об уязвимости в программном обеспечении сервера Wing FTP, добавив её в свой каталог известных эксплуатируемых уязвимостей (KEV). Уязвимость, идентифицированная как CVE-2025-47813 с оценкой CVSS 4.3, представляет собой уязвимость раскрытия информации средней степени серьезности, которая может раскрыть полный путь установки приложения при определенных условиях. По данным CISA, уязвимость существует из-за того, что сервер генерирует сообщения об ошибках, содержащие конфиденциальную информацию, когда в куки-файле сессии `UID` передается слишком длинное значение. Эта уязвимость затрагивает все версии сервера Wing FTP вплоть до версии 7.4.3 включительно.
Об уязвимости было ответственно сообщено исследователем Джулианом Аренсом из RCE Security, и разработчик выпустил исправление в версии 7.4.4, выпущенной в мае 2025 года. Примечательно, что это же обновление также устранило отдельную критическую уязвимость удаленного выполнения кода CVE-2025-47812 (с оценкой CVSS 10.0). Технический анализ показывает, что конечная точка `/loginok.html` не выполняет должную проверку длины значения куки-файла `UID`. Если злоумышленник передает значение, превышающее максимальную длину пути в операционной системе, это вызывает ошибку, которая непреднамеренно раскрывает полный локальный путь в файловой системе, по которому установлено приложение Wing FTP.
Хотя само раскрытие пути оценивается как уязвимость средней серьезности, оно представляет собой значительную угрозу как предвестник более серьезных атак. Как отметил исследователь Джулиан Аренс, знание точного пути сервера может быть инструментальным для аутентифицированного злоумышленника для успешной эксплуатации других уязвимостей, таких как критическая CVE-2025-47812, которая позволяет выполнять код удаленно. Имеющиеся данные свидетельствуют о том, что CVE-2025-47812 уже эксплуатировалась в дикой природе по крайней мере с июля 2025 года, когда злоумышленники использовали её для загрузки вредоносных скриптов Lua, проведения разведки и развертывания инструментов удаленного доступа.
В ответ на подтвержденную активную эксплуатацию CISA обязала все федеральные гражданские исполнительные органы (FCEB) США применить исправление, предоставленное разработчиком, к установленному сроку для защиты своих сетей. Хотя конкретные детали атак в дикой природе с использованием CVE-2025-47813 не являются публичными, её добавление в каталог KEV подчеркивает практический риск. Специалистам по кибербезопасности настоятельно рекомендуется немедленно обновить сервер Wing FTP до версии 7.4.4 или более поздней. Для организаций, которые не могут немедленно установить исправление, критически важными временными защитными мерами являются реализация строгой сегментации сети и мониторинг аномальных запросов к конечной точке `/loginok.html`.
