Impatto Sistemico

Critico (75.64)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2025-47812 – già sanata dal vendor a maggio 2025 – presente in Wing FTP Server, software enterprise per la gestione di server FTP, progettato per offrire trasferimenti di file sicuri, flessibile e multi-protocollo.

Note : la vulnerabilità risulta essere sfruttata attivamente in rete.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

La vulnerabilità, di tipo “Code Injection“ e identificata tramite la CVE-2025-47812 con score CVSS v3.x pari a 10, potrebbe consentire di eseguire codice arbitrario sul sistema target.

Nel dettaglio, l’errata gestione da parte del server dei byte NULL presenti nel parametro username, consentirebbe a un utente malintenzionato non autenticato l’iniezione, e la conseguente esecuzione, di codice Lua arbitrario nei file di sessione utente.

Prodotti e versioni affette

Wing FTP Server, versioni precedenti alla 7.4.4

Azioni di mitigazione

Ove non già provveduto, si raccomanda l’applicazione delle patch di sicurezza più recenti fornite dal produttore.