Impatto Sistemico

Critico (75.64)

Sintesi

Disponibili Proof of Concept (PoC) per le CVE-2025-47812 e CVE-2025-47813 – già sanate dal vendor a maggio 2025 – presenti in Wing FTP Server, software enterprise per la gestione di server FTP, progettato per offrire trasferimenti di file sicuri, flessibili e multi-protocollo.

Tipologia

• Remote Code Execution
• Information Disclosure

Descrizione e potenziali impatti

La vulnerabilità, di tipo “Code Injection“ e identificata tramite la CVE-2025-47812 con score CVSS v3.x pari a 10, potrebbe consentire l’esecuzione di codice arbitrario sul sistema target. Nel dettaglio, l’errata gestione da parte del server dei byte NULL presenti nel parametro username, consentirebbe a un utente malintenzionato non autenticato l’iniezione, e la conseguente esecuzione, di codice Lua arbitrario nei file di sessione utente.

La vulnerabilità, di tipo “Information Disclosure“ e identificata tramite la CVE-2025-47813 con score CVSS v3.x pari a 4.3, potrebbe consentire a un attaccante con privilegi minimi di carpire informazioni sensibili sul sistema target. Nel dettaglio, l’errata gestione da parte del server del valore UID all’interno dei cookie di sessione permette, tramite l’invio di valori opportunamente predisposti, la generazione di un messaggio di errore contenente il percorso completo di installazione dell’applicazione. Tale informazione, ove combinata con altre vulnerabilità come la CVE‑2025‑47812, potrebbe agevolare eventuali attacchi successivi e facilitare compromissioni più gravi.

Prodotti e versioni affette

Wing FTP Server, versioni precedenti alla 7.4.4

Azioni di mitigazione

Ove non già provveduto, si raccomanda l’applicazione delle patch di sicurezza più recenti fornite dal produttore.