CVE-2025-47812

CVSS 10 CRITICALEPSS 95.3%● KEVCWE-158

En resumen

Wing FTP Server tiene una falla crítica donde bytes nulos en la interfaz web permiten que atacantes inyecten código malicioso en archivos de sesión, lo que lleva a la toma total del servidor. Esto puede explotarse remotamente incluso a través de cuentas anónimas.

Detalle técnico

La vulnerabilidad explota el manejo inadecuado de bytes nulos en las interfaces web de usuario y administrador de Wing FTP Server, permitiendo la inyección de código Lua arbitrario en archivos de sesión. La explotación exitosa resulta en ejecución remota de código con privilegios del servicio FTP (típicamente root/SYSTEM), requiriendo solo acceso a la red y sin autenticación si FTP anónimo está habilitado.

Resumen generado y traducido por IA a partir de la descripción oficial.

In Wing FTP Server before 7.4.4. the user and admin web interfaces mishandle '\0' bytes, ultimately allowing injection of arbitrary Lua code into user session files. This can be used to execute arbitrary system commands with the privileges of the FTP service (root or SYSTEM by default). This is thus a remote code execution vulnerability that guarantees a total server compromise. This is also exploitable via anonymous FTP accounts.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Productos afectados

wftpserver · Wing FTP Server

PoCs públicas encontradas — 20

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-47812 https://www.huntress.com/blog/wing-ftp-server-remote-code-execution-cve-2025-47812-exploited-in-wild https://www.rcesecurity.com/2025/06/what-the-null-wing-ftp-server-rce-cve-2025-47812/https://www.vicarius.io/vsociety/posts/cve-2025-47812-detection-script-remote-code-execution-vulnerability-in-wing-ftp-server https://www.vicarius.io/vsociety/posts/cve-2025-47812-mitigation-script-remote-code-execution-vulnerability-in-wing-ftp-server https://www.wftpserver.com