Агентство CISA предупреждает об активной эксплуатации уязвимости в Wing FTP Server, раскрывающей системные пути
Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально включило уязвимость средней степени опасности в популярном FTP-сервере Wing FTP в свой каталог известных эксплуатируемых уязвимостей (KEV). Данное решение было принято на основании подтвержденных данных о том, что проблема активно используется злоумышленниками в реальных кибератаках.
Уязвимость, зарегистрированная под идентификатором CVE-2025-47813 и имеющая базовую оценку CVSS 4.3, относится к категории информационных раскрытий. При определенных обстоятельствах она позволяет злоумышленникам получить конфиденциальную информацию о полном пути установки приложения на целевом сервере.
Согласно официальному заявлению CISA, проблема возникает в механизме генерации сообщений об ошибках при обработке значения cookie UID. Когда злоумышленник отправляет значение, превышающее максимально допустимый размер пути в операционной системе, сервер генерирует ошибку, непреднамеренно раскрывая полный локальный путь к установленному приложению.
Данная уязвимость затрагивает все версии программного обеспечения вплоть до версии 7.4.3 включительно. Разработчики устранили проблему в релизе 7.4.4, выпущенном в мае текущего года. Исправление стало результатом ответственного раскрытия информации исследователем Julien Ahrens из компании RCE Security.
Важно отметить, что обновление до версии 7.4.4 также закрывает еще одну критическую уязвимость CVE-2025-47812, которая получила максимальную оценку CVSS 10.0. Эта брешь позволяла злоумышленникам удаленно выполнять произвольный код на атакуемом сервере. По состоянию на июль 2025 года данная уязвимость также активно эксплуатируется в дикой природе.
Согласно данным, предоставленным специалистами Huntress, атакующие использовали критическую уязвимость для загрузки и выполнения вредоносных Lua-файлов, проведения разведывательных операций и установки программ удаленного мониторинга и управления.
В опубликованном на GitHub эксплойте для проверки концепции Ahrens подробно описал механизм атаки. Конечная точка "/loginok.html" некорректно проверяет значение сессионного cookie "UID". Если подставленное значение превышает максимальный размер пути в операционной системе, сервер генерирует сообщение об ошибке, которое непреднамеренно раскрывает полный путь к серверу.
"Успешная эксплуатация позволяет авторизованному злоумышленнику получить локальный путь к приложению, что существенно упрощает использование других уязвимостей, таких как CVE-2025-47812", — пояснил исследователь.
На данный момент отсутствуют подробности о том, как именно уязвимость эксплуатируется в реальных атаках и используется ли она в комбинации с CVE-2025-47812. В связи с последними событиями CISA настоятельно рекомендует всем федеральным гражданским исполнительным агентствам (FCEB) установить необходимые обновления до 30 марта 2026 года.
