Обнаружена опасная уязвимость в популярном файловом сервере Wing FTP Server, которая позволяет злоумышленникам выполнять произвольный код на удаленных серверах без аутентификации. Эксперты присвоили этой уязвимости максимальный уровень опасности по шкале CVSSv4 - 10.0, что свидетельствует о крайне высокой степени угрозы и простоте эксплуатации.
Проблема, зарегистрированная как CVE-2025-47812, затрагивает версии Wing FTP Server до 7.4.3 включительно. Как выяснило исследование, проведенное специалистом по безопасности Жюльеном Аренсом из RCE Security, уязвимость связана с некорректной обработкой NULL-байтов в параметре username при обращении к эндпоинту /loginok.html. Это приводит к возможности внедрения произвольного кода на языке Lua в файлы сессий пользователей, что в итоге дает злоумышленникам полный контроль над сервером.
Серьезность уязвимости подчеркивается тем, что Wing FTP Server по умолчанию работает с правами root на Linux и NT AUTHORITY/SYSTEM на Windows. Это означает, что успешная эксплуатация уязвимости приводит к полному компрометированию сервера. Более того, если сервер настроен на разрешение анонимного доступа (что часто встречается в публичных FTP-сервисах), для атаки не требуется никаких учетных данных, что делает процесс эксплуатации тривиальным даже для недостаточно опытных хакеров.
Техническая сторона уязвимости демонстрируется простым HTTP-запросом, который может быть использован злоумышленниками. Например, отправка POST-запроса с вредоносным параметром username, содержащим NULL-байт и Lua-код, позволяет выполнить произвольные команды на сервере. Такая атака может иметь катастрофические последствия для организаций, использующих уязвимую версию сервера.
| 1 2 3 4 | POST /loginok.html HTTP/1.1 Host: localhost ... username=anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--&password=correct |
Разработчики Wing FTP Server уже выпустили патч в версии 7.4.4, который устраняет эту уязвимость. Всем пользователям настоятельно рекомендуется как можно скорее обновить программное обеспечение. Дополнительно эксперты советуют проверить логи сервера на признаки возможных атак и по возможности ограничить анонимный доступ к FTP-сервису, чтобы минимизировать риски.
Хронология событий показывает, что уязвимость была обнаружена 10 мая 2025 года, а уже через четыре дня разработчики выпустили исправление. Однако публичное раскрытие информации произошло только 30 июня, что дало организациям время на обновление до фиксированной версии. Тем не менее, учитывая широкую распространенность Wing FTP Server и серьезность уязвимости, угроза остается актуальной для тех, кто не успел применить патч.
Wing FTP Server - это кросс-платформенное решение для передачи файлов, поддерживающее протоколы FTP, FTPS, HTTP, HTTPS и SFTP. Его популярность в корпоративной среде, особенно среди компаний, работающих с обменом файлами, делает эту уязвимость особенно опасной.
