CISA waarschuwt voor het actieve misbruik van twee kwetsbaarheden in Wing FTP Server, een softwarepakket voor het opzetten van secure FTP-servers. De kwetsbaarheid CVE-2025-47813 maakt het mogelijk voor aanvallers om het lokale installatiepad van de software te achterhalen, wat kan worden gebruikt bij verdere aanvallen. Deze kwetsbaarheid kan gecombineerd worden met CVE-2025-47812, een kritieke fout met een CVSS-score van 10.0, die het uitvoeren van willekeurige code met root- of SYSTEM-rechten op de server mogelijk maakt.

Wing FTP Server ondersteunt protocollen zoals FTP, FTPS, HTTP, HTTPS en SFTP en wordt vaak ingezet voor het beheren van grootschalige datatransfers en het aansturen van remote servers. Via CVE-2025-47813 kan een aanvaller via de pagina loginok.html en een speciaal voorbereid session cookie het volledige lokale installatiepad achterhalen. CVE-2025-47812 betreft een null-byte-injectie in het gebruikersnaamveld, waarmee aanvallers Lua-code kunnen uitvoeren met de hoogste rechten, zelfs via anonieme FTP-accounts. Beide kwetsbaarheden werden ontdekt door onderzoeker Julien Ahrens, die al in juni vorig jaar waarschuwde dat deze lekken gecombineerd kunnen worden om servers volledig over te nemen. Beveiligingsbedrijf Huntress rapporteerde actieve exploitatie al op 1 juli vorig jaar, een dag na de publieke bekendmaking van CVE-2025-47812. Destijds waren naar schatting 5.000 servers kwetsbaar. Voor beide kwetsbaarheden is een beveiligingsupdate beschikbaar in Wing FTP Server versie 7.4.4.