ISGroup Consultoría de Ciberseguridad

CVE-2025-47812 – Ejecución Remota de Código (RCE) – Wing FTP Server

Wing FTP Server es una aplicación de transferencia de archivos multiplataforma que admite FTP, FTPS, SFTP, HTTP/S e incluye un motor de scripting Lua integrado. CVE-2019-5418 permite a los atacantes ejecutar código Lua a nivel de root/SYSTEM de forma remota y, si está habilitado, sin autenticación. La vulnerabilidad afecta a las versiones de Wing FTP Server anteriores a la 7.4.4.

ProductoWingFTP sftpd
Fecha2025-07-14 14:56:57
Información
  • Parche disponible
  • Explotación activa

Resumen técnico

La vulnerabilidad se deriva de una gestión inadecuada de bytes nulos (\0) en los parámetros HTTP POST durante el inicio de sesión. En particular, el error reside en la forma en que Wing FTP construye y escribe los archivos de sesión del usuario, como loginok.html.

Los atacantes pueden enviar una solicitud POST con:

username=ValidUsername%00]]SomeLuaCode--

O también:

username=anonymous%00]]SomeLuaCode--

En detalle:

  • La sesión para el usuario válido se crea con éxito;
  • El byte nulo interrumpe el procesamiento de la cadena;
  • El ]] cierra la sintaxis anterior;
  • El código Lua se almacena;
  • El comenta el ]] anterior.

Tras la creación exitosa del archivo objeto de la sesión, los atacantes envían otra solicitud HTTP GET a cualquier otro endpoint, lo que activa la ejecución del código Lua.

  • Ataque autenticado/no autenticado: La vulnerabilidad requiere autenticación; sin embargo, si están habilitadas en el lado del servidor, las cuentas anónimas también pueden utilizarse para la explotación.
  • Explotación activa: Numerosos investigadores de seguridad han informado que CVE-2025-47812 está siendo explotada activamente en entornos reales.

Recomendaciones

  1. Aplicar el parche inmediatamente: Actualizar todas las instancias de Wing FTP a la versión 7.4.4.
  2. Eliminar o reforzar el acceso anónimo: Deshabilitar las cuentas FTP anónimas a menos que sea estrictamente necesario. La autenticación representa actualmente un vector de ataque.
  3. Monitoreo: Analizar los archivos de sesión en busca de anomalías, como archivos .lua excesivamente grandes o que contengan caracteres sospechosos. Revisar los registros y monitorear las solicitudes POST relacionadas con loginok.html.

[Callforaction-THREAT-Footer]

In