Advertencia sobre vulnerabilidad en Wing FTP que expone rutas de servidor
Publicado el
CISA Identifica Vulnerabilidad en Wing FTP
La Ciberseguridad y Agencia de Seguridad de Infraestructura de EE. UU. (CISA) ha añadido recientemente una vulnerabilidad de gravedad media en Wing FTP a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta decisión se basa en pruebas de que la falla, identificada como CVE-2025-47813 (con una puntuación CVSS de 4.3), está siendo activamente explotada.
La vulnerabilidad permite la divulgación de información, filtrando la ruta de instalación de la aplicación bajo ciertas condiciones. Según CISA, el Wing FTP Server genera mensajes de error que contienen información sensible cuando se utiliza un valor largo en la cookie UID. Este problema afecta a todas las versiones del software anteriores o iguales a la 7.4.3, y fue solucionado en la versión 7.4.4, lanzada en mayo tras una divulgación responsable por parte del investigador de RCE Security, Julien Ahrens.
Es importante destacar que la versión 7.4.4 también corrige otra vulnerabilidad crítica, CVE-2025-47812 (puntuación CVSS: 10.0), que permite la ejecución remota de código. Desde julio de 2025, la CVE-2025-47813 ha sido objeto de explotación activa. Detalles proporcionados por Huntress indican que los atacantes han utilizado esta vulnerabilidad para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos y establecer software de gestión y monitorización remota.
Ahrens, en un exploit de prueba de concepto (PoC) compartido en GitHub, señaló que el endpoint en /loginok.html no valida correctamente el valor de la cookie de sesión UID. Esto significa que si el valor proporcionado supera el tamaño máximo de ruta del sistema operativo subyacente, se activa un mensaje de error que revela la ruta completa del servidor local. "Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor local de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812", agregó el investigador.
Actualmente, no hay detalles sobre cómo se está explotando esta vulnerabilidad en el entorno real ni si se está utilizando en conjunto con CVE-2025-47812. Ante este nuevo desarrollo, se recomienda a las agencias de la Federal Civilian Executive Branch (FCEB) aplicar las correcciones necesarias antes del 30 de marzo de 2026. La situación destaca la importancia de mantener actualizados los sistemas y aplicar parches de seguridad de manera oportuna para prevenir posibles ataques.