Wing FTP Server ist eine plattformübergreifende FTP-Server-Software, die zusätzlich sichere Dateiübertragung über integrierte SFTP- und Webserver ermöglicht. Die Entwickler geben an, dass ihre Software von mehr als 10.000 Kunden weltweit genutzt wird, darunter die U.S. Air Force, Sony, Airbus, Reuters und Sephora.

Die Schwachstelle CVE-2025-47813 erlaubt Angreifern mit geringen Privilegien, den vollständigen lokalen Installationspfad der Anwendung auf ungepatchten Servern offenzulegen. CISA beschreibt sie als Schwachstelle, bei der eine Fehlermeldung mit sensiblen Informationen erzeugt wird, sobald im UID-Cookie ein überlanger Wert übergeben wird.

Der Hersteller schloss die Lücke im Mai 2025 mit Wing FTP Server v7.4.4. Im selben Update behob er eine kritische Schwachstelle zur Remote-Code-Ausführung (CVE-2025-47812) sowie eine Schwachstelle zur Informationsoffenlegung (CVE-2025-27889), über die sich das Passwort eines Nutzers stehlen lässt.

Die RCE-Schwachstelle wurde bereits zuvor als in freier Wildbahn ausgenutzt eingestuft, nachdem Angreifer einen Tag nach Veröffentlichung der technischen Details mit der Ausnutzung begonnen hatten.

Der Sicherheitsforscher Julien Ahrens, der die Schwachstellen entdeckte und meldete, veröffentlichte im Juni zudem Proof-of-Concept-Exploit-Code für CVE-2025-47813. Nach seiner Einschätzung könnten Angreifer die Lücke als Teil derselben Kette wie CVE-2025-47812 ausnutzen.

Am Dienstag nahm CISA CVE-2025-47813 in ihren Katalog der aktiv ausgenutzten Schwachstellen auf und gab den zivilen US-Bundesbehörden (Federal Civilian Executive Branch) gemäß der Binding Operational Directive (BOD) 22-01 vom November 2021 zwei Wochen Zeit, ihre Systeme abzusichern.

Obwohl die BOD 22-01 nur für Bundesbehörden gilt, rief die US-Cybersicherheitsbehörde alle Verteidiger – einschließlich der Privatwirtschaft – dazu auf, ihre Server so schnell wie möglich gegen die laufenden Angriffe zu patchen. Diese Art von Schwachstelle sei ein häufiger Angriffsvektor und stelle ein erhebliches Risiko dar, warnte CISA. Anwender sollten die Gegenmaßnahmen nach Herstellervorgaben umsetzen, die einschlägigen Vorgaben der BOD 22-01 für Cloud-Dienste befolgen oder das Produkt einstellen, falls keine Gegenmaßnahmen verfügbar sind.