Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Wing FTP Server

Fecha de publicación 15/07/2025
Identificador
INCIBE-2025-0379
Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores a la 7.4.4 de Wing FTP Server.

Descripción

Julien Ahrens, de RCE Security, han detectado 3 vulnerabilidades: 1 de severidad crítica, otra de severidad alta y otra media que, de ser explotadas, podrían permitir una ejecución remota de código.

Para la vulnerabilidad de severidad crítica se ha publicado una prueba de concepto que podría ser explotada.

Solución

Todos los errores se han corregido en la versión 7.4.4 de Wing FTP, excepto CVE-2025-47811.

Detalle

CVE-2025-47812: vulnerabilidad de severidad crítica en el endpoint "/loginok.html" ya que no maneja correctamente los bytes NULL al procesar el parámetro "user name". Esto podría permitir a un atacante inyectar código arbitrario en los archivos de sesión.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2025-47811.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-37813.

CVE
Explotación
Nuevo Fabricante
Wing FTP Server
Identificador CVE
CVE-2025-47812
Severidad
Crítica