Wprowadzenie do problemu / definicja
Agencja CISA dodała do katalogu Known Exploited Vulnerabilities podatność CVE-2025-47813 dotyczącą Wing FTP Server. Problem dotyczy ujawnienia informacji i polega na możliwości wycieku pełnej lokalnej ścieżki instalacyjnej aplikacji w wyniku nieprawidłowej obsługi nadmiernie długiej wartości ciasteczka sesyjnego UID.
Choć sama luka została oceniona jako podatność o umiarkowanym wpływie, jej znaczenie rośnie w praktyce operacyjnej. Ujawnienie szczegółów środowiska może bowiem wspierać dalsze etapy ataku, zwłaszcza jeżeli serwer pozostaje niezałatany i współwystępują w nim inne błędy bezpieczeństwa.
W skrócie
- CVE-2025-47813 dotyczy Wing FTP Server w wersjach do 7.4.3 włącznie.
- Podatność została usunięta w wersji 7.4.4.
- Luka umożliwia ujawnienie lokalnej ścieżki serwera przez błąd wywołany zbyt długą wartością cookie UID.
- CISA potwierdziła aktywne wykorzystywanie podatności i dodała ją do katalogu KEV.
- Ta sama aktualizacja eliminuje również krytyczną lukę RCE oznaczoną jako CVE-2025-47812.
Kontekst / historia
Wing FTP Server to rozwiązanie do transferu plików wykorzystywane w środowiskach firmowych oraz administracyjnych. W 2025 roku ujawniono kilka problemów bezpieczeństwa dotyczących tego produktu, w tym krytyczną lukę zdalnego wykonania kodu CVE-2025-47812 oraz odrębną podatność informacyjną CVE-2025-47813.
Producent usunął te błędy w wersji 7.4.4 opublikowanej 14 maja 2025 roku. Późniejsze doniesienia o rzeczywistym wykorzystaniu luk zwiększyły wagę problemu, a wpisanie CVE-2025-47813 do katalogu aktywnie eksploatowanych podatności przez CISA potwierdziło, iż nie jest to już wyłącznie scenariusz teoretyczny.
Analiza techniczna
Podatność CVE-2025-47813 wynika z niewłaściwej walidacji danych wejściowych przekazywanych w ciasteczku sesyjnym UID do endpointu loginok.html. o ile atakujący prześle wartość dłuższą niż maksymalny rozmiar ścieżki obsługiwany przez system operacyjny, aplikacja może wygenerować komunikat błędu zawierający pełną lokalną ścieżkę instalacyjną serwera.
Technicznie nie jest to luka umożliwiająca bezpośrednie wykonanie kodu ani eskalację uprawnień. Problem polega jednak na tym, iż ujawnione informacje mogą dostarczyć napastnikowi wiedzy o strukturze katalogów, położeniu plików aplikacyjnych i sposobie rozmieszczenia komponentów systemu.
Znaczenie tej podatności rośnie w połączeniu z CVE-2025-47812, czyli krytyczną luką RCE w tym samym produkcie. W takim scenariuszu wyciek ścieżki może pełnić rolę pomocniczą, zwiększając precyzję przygotowania exploitów oraz ułatwiając dopasowanie działań do konkretnego środowiska.
Konsekwencje / ryzyko
Najważniejszym ryzykiem związanym z CVE-2025-47813 nie jest sam fakt ujawnienia ścieżki, ale jej wartość rozpoznawcza. choćby pozornie ograniczony wyciek może dostarczyć danych, które pomogą w budowie skuteczniejszego łańcucha ataku.
- Przygotowanie bardziej precyzyjnych exploitów.
- Identyfikacja lokalizacji plików konfiguracyjnych, sesyjnych i skryptowych.
- Dostosowanie ładunku do konkretnego systemu operacyjnego lub sposobu instalacji.
- Łączenie tej luki z innymi podatnościami w celu zwiększenia skuteczności kompromitacji.
W środowiskach wystawionych do Internetu ryzyko dodatkowo wzrasta. jeżeli organizacja przez cały czas korzysta z wersji 7.4.3 lub starszej, może być jednocześnie narażona na wyciek informacji i na znacznie poważniejsze skutki wykorzystania luki RCE, w tym przejęcie usługi, uruchamianie nieautoryzowanego kodu oraz utratę poufności danych przesyłanych przez serwer.
Rekomendacje
Najważniejszym działaniem obronnym jest niezwłoczna aktualizacja Wing FTP Server do wersji 7.4.4 lub nowszej. Tę zmianę należy traktować priorytetowo, ponieważ usuwa ona zarówno CVE-2025-47813, jak i krytyczną CVE-2025-47812.
- Przeprowadzić inwentaryzację wszystkich instancji Wing FTP Server, szczególnie tych dostępnych publicznie.
- Sprawdzić, czy interfejsy HTTP/HTTPS administracyjne i użytkownika są wystawione do Internetu.
- Przeanalizować logi aplikacyjne oraz reverse proxy pod kątem nietypowo długich wartości cookie UID.
- Wyszukać błędy i anomalie związane z endpointem loginok.html.
- Skontrolować katalogi sesji, pliki skryptowe oraz mechanizmy wykonywania Lua.
- Zweryfikować system pod kątem nieautoryzowanych narzędzi zdalnego dostępu, nowych kont i podejrzanych zadań harmonogramu.
- Ograniczyć dostęp administracyjny do zaufanych adresów IP oraz wdrożyć segmentację usługi.
- Wprowadzić reguły detekcyjne dla anomalii w nagłówkach HTTP i ciasteczkach sesyjnych.
Jeżeli organizacja nie może wdrożyć poprawki natychmiast, powinna tymczasowo ograniczyć powierzchnię ataku poprzez wyłączenie zbędnych interfejsów webowych, zastosowanie filtracji na zaporach i systemach WAF oraz wzmożone monitorowanie prób manipulacji parametrami sesji. Nie zastępuje to aktualizacji, ale może obniżyć ryzyko do czasu pełnego wdrożenia zmian.
Podsumowanie
CVE-2025-47813 pokazuje, iż choćby luka klasyfikowana jako ujawnienie informacji może mieć duże znaczenie operacyjne. W przypadku Wing FTP Server wyciek lokalnej ścieżki instalacyjnej może zwiększać skuteczność bardziej zaawansowanych ataków, szczególnie gdy system pozostaje podatny również na inne błędy.
Dodanie tej podatności do katalogu aktywnie wykorzystywanych luk przez CISA oznacza, iż organizacje powinny traktować problem jako realne zagrożenie. Priorytetem pozostaje szybka aktualizacja, analiza ewentualnych śladów kompromitacji oraz ograniczenie ekspozycji serwerów plikowych na ruch zewnętrzny.