Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

CVE-2025-47811

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/07/2025
Última modificación:
10/07/2025

Descripción

En Wing FTP Server hasta la versión 7.4.4, la interfaz web administrativa (que escucha por defecto en el puerto 5466) se ejecuta como root o SYSTEM por defecto. La propia aplicación web ofrece varias formas legítimas de ejecutar comandos arbitrarios del sistema (por ejemplo, a través de la consola web o el programador de tareas), y estos se ejecutan automáticamente con el máximo privilegio posible. Dado que los usuarios administrativos de la interfaz web no son necesariamente administradores del sistema, se podría argumentar que se trata de una escalada de privilegios. (Si un atacante no tiene acceso a un rol de aplicación privilegiado, se puede aprovechar la vulnerabilidad CVE-2025-47812). NOTA: Según se informa, el proveedor considera que este comportamiento es aceptable.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
4.10
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información