De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kwetsbaarheid in Wing FTP Server toegevoegd aan haar lijst van Known Exploited Vulnerabilities (KEV). Het gaat om CVE-2025-47813, een informatielek met een CVSS-score van 4.3, waarbij onder bepaalde omstandigheden het installatiepad van de server wordt gelekt.

De kwetsbaarheid ontstaat doordat Wing FTP Server foutmeldingen genereert met gevoelige informatie wanneer een lange waarde wordt gebruikt in de UID-cookie. Dit probleem treft alle versies tot en met 7.4.3 en is opgelost in versie 7.4.4, die in mei 2025 werd uitgebracht na een verantwoordelijke melding door beveiligingsonderzoeker Julien Ahrens van RCE Security. Deze update verhelpt ook een kritieke kwetsbaarheid (CVE-2025-47812, CVSS 10.0) die remote code execution mogelijk maakt.

Volgens CISA is de kwetsbaarheid sinds juli 2025 actief in het wild misbruikt. Aanvallers gebruiken deze om kwaadaardige Lua-bestanden te downloaden en uit te voeren, verkenningsactiviteiten uit te voeren en software voor remote monitoring en beheer te installeren. In een proof-of-concept op GitHub toont Ahrens aan dat de endpoint "/loginok.html" de waarde van de UID-sessiecookie onvoldoende valideert, waardoor een foutmelding het volledige lokale serverpad onthult als de waarde langer is dan het maximale padformaat van het besturingssysteem.

Een succesvolle exploit stelt een geauthenticeerde aanvaller in staat het lokale serverpad te achterhalen, wat kan helpen bij het misbruiken van andere kwetsbaarheden zoals CVE-2025-47812. Er zijn momenteel geen details bekend over het gecombineerde misbruik van beide kwetsbaarheden. FCEB-agentschappen worden geadviseerd de patch uiterlijk 30 maart 2026 toe te passen.