Múltiples vulnerabilidades en Wing FTP Server
Versiones anteriores a la 7.4.4 de Wing FTP Server.
Julien Ahrens, de RCE Security, han detectado 3 vulnerabilidades: 1 de severidad crítica, otra de severidad alta y otra media que, de ser explotadas, podrían permitir una ejecución remota de código.
Para la vulnerabilidad de severidad crítica se ha publicado una prueba de concepto que podría ser explotada.
Todos los errores se han corregido en la versión 7.4.4 de Wing FTP, excepto CVE-2025-47811.
CVE-2025-47812: vulnerabilidad de severidad crítica en el endpoint "/loginok.html" ya que no maneja correctamente los bytes NULL al procesar el parámetro "user name". Esto podría permitir a un atacante inyectar código arbitrario en los archivos de sesión.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2025-47811.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-37813.
