Эксперты фиксируют активную эксплуатацию максимально опасной уязвимости CVE-2025-47812 в серверном ПО Wing FTP. Уязвимость оценена в 10.0 баллов по шкале CVSS, что указывает на критический уровень угрозы. Брешь позволяет злоумышленникам выполнять произвольные системные команды с привилегиями службы FTP, часто работающей с правами root или SYSTEM.
Уязвимость кроется в некорректной обработке нулевых байтов (
Исследователь Julien Ahrens (RCE Security) раскрыл детали уязвимости в конце июня 2025 года. Уже 1 июля 2025 компания Huntress зафиксировала первую активную атаку на своего клиента. Взлом произошел всего через день после публикации данных об эксплойте.
Злоумышленники использовали уязвимость для внедрения Lua-кода через параметр username при обработке файла loginok.html. В наблюдаемом случае атакующие:
Атака была остановлена до завершения установки ScreenConnect. Источник угрозы пока не установлен.
По данным Censys, в открытом доступе находятся 8 103 сервера Wing FTP, из которых 5 004 имеют незащищенные веб-интерфейсы. Наиболее уязвимые страны: США, Китай, Германия, Великобритания и Индия.
Единственный эффективный способ защиты — немедленное обновление до версии Wing FTP Server 7.4.4 или новее, где уязвимость устранена. Администраторам следует проверить все инсталляции и исключить доступ к интерфейсам из публичных сетей.
Изображение носит иллюстративный характер
Уязвимость кроется в некорректной обработке нулевых байтов (
'\0') в веб-интерфейсах пользователя и администратора. Ошибка позволяет внедрять произвольный Lua-код в файлы сессий. Особую опасность представляет возможность эксплуатации через анонимные FTP-аккаунты, упрощающая атаку. Исследователь Julien Ahrens (RCE Security) раскрыл детали уязвимости в конце июня 2025 года. Уже 1 июля 2025 компания Huntress зафиксировала первую активную атаку на своего клиента. Взлом произошел всего через день после публикации данных об эксплойте.
Злоумышленники использовали уязвимость для внедрения Lua-кода через параметр username при обработке файла loginok.html. В наблюдаемом случае атакующие:
- Скачивали и исполняли вредоносные Lua-файлы;
- Проводили разведку системы;
- Пытались установить ПО для удаленного управления ScreenConnect;
- Запускали команды для сбора информации;
- Создавали новых пользователей для сохранения доступа.
Атака была остановлена до завершения установки ScreenConnect. Источник угрозы пока не установлен.
По данным Censys, в открытом доступе находятся 8 103 сервера Wing FTP, из которых 5 004 имеют незащищенные веб-интерфейсы. Наиболее уязвимые страны: США, Китай, Германия, Великобритания и Индия.
Единственный эффективный способ защиты — немедленное обновление до версии Wing FTP Server 7.4.4 или новее, где уязвимость устранена. Администраторам следует проверить все инсталляции и исключить доступ к интерфейсам из публичных сетей.
