CISA waarschuwt voor actief misbruik van CVE-2025-47813 in Wing FTP Server, waarmee aanvallers het lokale installatiepad van de software achterhalen. Het lek is te combineren met CVE-2025-47812, een kritieke kwetsbaarheid met CVSS-score 10.0 die code-uitvoering met root/SYSTEM-rechten mogelijk maakt. Beide lekken zijn gedicht in versie 7.4.4.
Wing FTP Server is software voor het opzetten van een secure FTP-server met ondersteuning voor FTP, FTPS, HTTP, HTTPS en SFTP. Het wordt veelal ingezet voor het beheren van grootschalige datatransfers en het aansturen van remote servers.
Via CVE-2025-47813 kan een aanvaller via de pagina loginok.html en een speciaal voorbereid session cookie het volledige lokale installatiepad van de software achterhalen. Die informatie is bij verdere aanvallen bruikbaar.
Twee kwetsbaarheden, één combinatie
De kwetsbaarheid is nauw verwant aan een tweede, ernstiger lek: CVE-2025-47812. Dit beveiligingslek kreeg van het de maximale CVSS-score van 10.0. Via een null-byte-injectie (%00) in het gebruikersnaamveld kunnen aanvallers willekeurige Lua-code met root/SYSTEM-rechten uitvoeren op de server. Het lek is zelfs te misbruiken via anonieme FTP-accounts.
Beide kwetsbaarheden werden ontdekt door onderzoeker Julien Ahrens. Hij meldde in juni vorig jaar al dat aanvallers de lekken kunnen combineren om kwetsbare FTP-servers volledig over te nemen. Beveiligingsbedrijf Huntress documenteerde actieve exploitatie al op 1 juli vorig jaar, slechts één dag na de publieke bekendmaking van CVE-2025-47812. Naar schatting waren er op dat moment zo’n 5.000 internet-toegankelijke servers kwetsbaar.
Update beschikbaar
In juli vorig jaar waarschuwde CISA al dat CVE-2025-47812 bij aanvallen was misbruikt; nu geldt datzelfde voor CVE-2025-47813. Een beveiligingsupdate voor beide lekken is beschikbaar in versie 7.4.4 van Wing FTP Server.
Lees ook: Kritieke Cisco SD-WAN-kwetsbaarheid al sinds 2023 misbruikt