La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes una falla de seguridad de gravedad media que afecta a Wing FTP a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Esta vulnerabilidad, CVE-2025-47813 (puntaje CVSS: 4.3), es una vulnerabilidad de divulgación de información que permite filtrar la ruta de instalación de una aplicación bajo ciertas condiciones.
«El servidor Wing FTP contiene una serie de mensajes de error que incluyen una vulnerabilidad de información sensible al utilizar valores largos para las cookies UID», dijo CISA.
Este inconveniente afecta a todas las versiones del software anteriores a la versión 7.4.3. Este problema se resolvió en la versión 7.4.4 enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.
Vale la pena señalar que la versión 7.4.4 también parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, esta vulnerabilidad se está explotando de forma natural.
Según los detalles compartidos por Huntress en ese momento, los atacantes aprovecharon esto para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de administración y monitoreo remoto.
En un exploit de prueba de concepto (PoC) compartido en GitHub, Ahrens señaló que el punto final «/loginok.html» no valida adecuadamente el valor de la cookie de sesión «UID». Como resultado, si el valor especificado es más largo que el tamaño de ruta máximo del sistema operativo subyacente, se muestra un mensaje de error que indica la ruta completa en el servidor local.
«Un exploit exitoso podría permitir a un atacante autenticado obtener la ruta del servidor local de la aplicación, lo que podría ser útil para explotar vulnerabilidades como CVE-2025-47812», agregaron los investigadores.
Actualmente se desconocen los detalles sobre cómo se está explotando esta vulnerabilidad en la naturaleza y si se está explotando junto con CVE-2025-47812. A la luz de los últimos acontecimientos, se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las modificaciones necesarias antes del 30 de marzo de 2026.
Source link
