La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes una error de seguridad de recaída media que afecta a Wing FTP a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad, CVE-2025-47813 (Puntuación CVSS: 4,3), es una vulnerabilidad de divulgación de información que filtra la ruta de instalación de la aplicación bajo ciertas condiciones.
“Wing FTP Server contiene una procreación de mensajes de error que contienen vulnerabilidades de información confidencial cuando se utiliza un valencia dilatado en la cookie UID”, dijo CISA.
La deficiencia afecta a todas las versiones del software anteriores a la traducción 7.4.3 incluida. El problema se solucionó en la traducción 7.4.4, enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.
Vale la pena señalar que la traducción 7.4.4 igualmente parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, la vulnerabilidad se encuentra bajo explotación activa en la naturaleza.
Según los detalles compartidos por Huntress en ese momento, los atacantes lo aprovecharon para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de filial y monitoreo remoto.
Ahrens, en un exploit de prueba de concepto (PoC), compartido en GitHub, señaló que el punto final en “/loginok.html” no valida adecuadamente el valencia de la cookie de sesión “UID”. Como resultado, si el valencia proporcionado es más dilatado que el tamaño de ruta mayor del sistema eficaz subyacente, genera un mensaje de error que revela la ruta completa del servidor restringido.
“Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor restringido de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812”, añadió el investigador.
Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza y si se abusa de ella próximo con CVE-2025-47812. A la luz de los últimos acontecimientos, se recomienda a las agencias del Poder Ejecutor Civil Federal (FCEB) que apliquen las correcciones necesarias ayer del 30 de marzo de 2026.
