A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na segunda-feira adicionado uma falha de segurança de gravidade média afetando o Wing FTP em suas vulnerabilidades exploradas conhecidas (KEV) catálogo, citando evidências de exploração ativa.
A vulnerabilidade, CVE-2025-47813 (pontuação CVSS: 4,3), é uma vulnerabilidade de divulgação de informações que vaza o caminho de instalação do aplicativo sob certas condições.
“O Wing FTP Server contém uma geração de mensagens de erro contendo vulnerabilidade de informações confidenciais ao usar um valor longo no cookie UID”, disse a CISA.
A deficiência afeta todas as versões do software anteriores e incluindo a versão 7.4.3. O problema foi resolvido na versão 7.4.4, lançada em maio após uma divulgação responsável do pesquisador da RCE Security, Julien Ahrens.
É importante notar que a versão 7.4.4 também corrige CVE-2025-47812 (pontuação CVSS: 10.0), outro bug crítico no mesmo produto que permite a execução remota de código. Em julho de 2025, a vulnerabilidade passou a ser explorada ativamente em estado selvagem.
De acordo com detalhes compartilhados pela Huntress na época, os invasores aproveitaram-no para baixar e executar arquivos Lua maliciosos, realizar reconhecimento e instalar software de monitoramento e gerenciamento remoto.
Ahrens, em uma exploração de prova de conceito (PoC), compartilhada no GitHub, observou que o endpoint em “/loginok.html” não valida adequadamente o valor do cookie de sessão “UID”. Como resultado, se o valor fornecido for maior que o tamanho máximo do caminho do sistema operacional subjacente, ele acionará uma mensagem de erro que divulga o caminho completo do servidor local.
“Explotações bem-sucedidas podem permitir que um invasor autenticado obtenha o caminho do servidor local do aplicativo, o que pode ajudar na exploração de vulnerabilidades como CVE-2025-47812”, disse o pesquisador. adicionado.
Atualmente não há detalhes sobre como a vulnerabilidade está sendo explorada e se está sendo abusada em conjunto com CVE-2025-47812. À luz dos últimos desenvolvimentos, recomenda-se que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções necessárias até 30 de março de 2026.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.