Nova kritična ranjivost otkrivena u Wing FTP Serveru, sa dodijeljenim identifikatorom CVE-2025-47812, ima najviši mogući CVSSv4 rejting od 10.0. Ovo otkriće omogućava neautentikovanim napadačima da steknu potpunu kontrolu nad serverom.
Ovu ranjivost, koju je otkrio stručnjak za sigurnost Julien Ahrens iz kompanije RCE Security, pogađa sve verzije Wing FTP Servera zaključno sa verzijom 7.4.3.
Ključne informacije:
- CVE-2025-47812 predstavlja kritičnu ranjivost tipa “Remote Code Execution” (RCE) u verzijama Wing FTP Servera do 7.4.3, koja se eksploatiše putem ubacivanja NULL bajta u `/loginok.html` krajnju tačku.
- Moguće je potpuno preuzimanje servera sa privilegijama root ili SYSTEM; maksimalni CVSSv4 rejting je 10.0.
- Odmah ažurirajte na verziju 7.4.4 i provjerite konfiguracije za anonimni pristup.
Ovaj nedostatak u sigurnosti omogućava daljinsko izvršavanje koda (RCE) iskorištavanjem nepravilnog rukovanja NULL bajtovima unutar mehanizma za autentifikaciju servera. Ovo napadačima daje mogućnost ubacivanja proizvoljnog Lua koda i izvršavanja sistemskih komandi sa povišenim pravima.
Ranjivost ubacivanja koda:
Problem je lociran u `/loginok.html` krajnjoj tački, koja ne uspijeva pravilno da očisti NULL bajtove prilikom obrade parametra korisničkog imena. Ova slabost, klasifikovana kao CWE-94, omogućava napadačima da izađu iz predviđenog konteksta parametra i ubace maliciozni Lua kod u datoteke korisničkih sesija. Mehanizam eksploatacije koristi Lua skriptni engine servera, koji Wing FTP Server interno koristi za razne operacije.
Potvrda ozbiljnosti ranjivosti prikazana je kroz dokaz koncepta eksploatacije:
Ovaj primjer eksploatacije koristi NULL bajt (%00) kako bi prerano prekinuo string korisničkog imena, nakon čega slijedi Lua kod koji izvršava sistemske komande putem funkcije `io.popen()`. Ubačeni kod može izvoditi proizvoljne komande operativnog sistema, kao što je prikazani `id` primjer, koji vraća informacije o korisniku na Unix-likim sistemima.
Posljedice ove ranjivosti su izuzetno ozbiljne jer Wing FTP Server često radi sa povišenim privilegijama – kao root na Linux sistemima ili kao NT AUTHORITY/SYSTEM na Windows platformama. To znači da uspješna eksploatacija napadaču dodjeljuje potpuni administratorski nadzor nad zahvaćenim serverom, a ne samo nad FTP servisom. Vektori napada su naročito opasni za servere koji dozvoljavaju anonimni FTP pristup, jer pružaju neautentifikovan put za kompromitovanje sistema.
Faktori rizika:
- Pogođeni proizvodi: Wing FTP Server ≤ 7.4.3
- Posljedica: Daljinsko izvršavanje koda (RCE)
Preduslovi za eksploataciju: Neautentifikovan pristup `/loginok.html` krajnjoj tački, mrežni pristup ciljnom serveru - CVSS 3.1 rejting: 10.0 (Kritično)
Hitno potrebno rješavanje problema
Organizacije koje koriste Wing FTP Server moraju hitno ažurirati na verziju 7.4.4, koja je objavljena 14. maja 2025. godine, upravo radi otklanjanja ove ranjivosti. Tim zadužen za Wing FTP Server je potvrdio postojanje kritičnog propusta i implementirao odgovarajuću validaciju unosa kako bi se spriječili napadi ubacivanjem NULL bajtova. Ranjivost je odgovorno objavljena prema koordinisanom vremenskom rasporedu, pri čemu je dobavljač potvrdio problem u roku od nekoliko sati od obavještenja i objavio ispravku samo četiri dana kasnije.
Sistemski administratori bi trebali dati prioritet ovom ažuriranju, s obzirom na maksimalni CVSS rejting ranjivosti i potencijal za potpuno kompromitovanje sistema. Dodatno, organizacije bi trebale pregledati konfiguracije svojih FTP servera i razmotriti implementaciju mrežnih zaštita, poput firewall-a i sistema za detekciju upada, kako bi nadzirali pokušaje eksploatacije usmjerene na ovu ranjivost.
