Se ha descubierto una vulnerabilidad de seguridad crítica en Wing FTP Server. Esta podría permitir a un actor malicioso ejecutar comandos del sistema con privilegios root/SYSTEM, logrando así el control total del servidor.
Productos afectados
- Wing FTP Server anterior a la versión 7.4.4
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-47812: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad en las interfaces web de usuario y administrador, que gestionan incorrectamente los bytes ‘\0’, lo que podría permitir la inyección de código Lua arbitrario en los archivos de sesión del usuario, lo que permitiría a un actor malicioso ejecutar comandos de sistema arbitrarios con los privilegios del servicio FTP (root o SYSTEM por defecto).
Nota: Se ha emitido una advertencia urgente sobre esta vulnerabilidad que podría estar siendo explotada activamente.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-47812