De Amerikaanse cybersecurityorganisatie CISA heeft maandag gewaarschuwd dat een kwetsbaarheid in Wing FTP Server, die al sinds mei 2025 bekend is, actief wordt misbruikt. Wing FTP is een gratis veilige FTP-server voor Windows, macOS en Linux die meerdere bestandsoverdrachtsprotocollen ondersteunt en beheerders in staat stelt de server op afstand te beheren via een webinterface.

De kwetsbaarheid, geregistreerd als CVE-2025-47813, heeft een middelhoge ernst en kan leiden tot het lekken van het volledige lokale installatiepad van de applicatie wanneer een te lange waarde wordt gebruikt in de UID-cookie van een ingelogde sessie. Deze fout werd op 14 mei 2025 openbaar gemaakt, tegelijk met de release van Wing FTP Server versie 7.4.4, waarin een patch voor het probleem was opgenomen. CISA heeft de kwetsbaarheid nu toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus en dringt er bij federale instanties op aan de patch uiterlijk 30 maart te installeren.

De kwetsbaarheid betreft het loginok.html-endpoint van Wing FTP, dat de UID-cookie niet correct valideert. Door een te lange waarde te verstrekken, kan een aanvaller een foutmelding veroorzaken waarin het volledige lokale serverpad wordt onthuld. Julien Ahrens van RCE Security ontdekte de fout en publiceerde een proof-of-concept. Volgens hem kunnen aanvallers dit lokale pad gebruiken om andere kwetsbaarheden in Wing FTP te misbruiken, waaronder CVE-2025-47812, een kritieke kwetsbaarheid die leidt tot remote code execution. Deze laatste werd eveneens gepatcht in versie 7.4.4 en werd in juni 2025 als geëxploiteerd gemeld, waarbij ongeveer 5.000 internettoegankelijke servers kwetsbaar zouden zijn geweest voor aanvallen via POST-verzoeken. CVE-2025-47812 werd in juli 2025 aan de KEV-lijst van CISA toegevoegd.