Die Sicherheitslücke CVE-2025-47813 wurde durch RCE-Security-Forscher Julien Ahrens verantwortungsvoll offengelegt und betrifft die Fehlerbehandlung beim Login-Prozess des Wing FTP Servers. Das Problem liegt in der unzureichenden Validierung des UID-Session-Cookies am Endpunkt “/loginok.html”. Wenn Angreifer einen Wert eingeben, der die maximale Pfadlänge des Betriebssystems überschreitet, gibt der Server eine Fehlermeldung aus, die den vollständigen lokalen Serverpfad preisgibt.
Wie der Forscher in seinem auf GitHub veröffentlichten Proof-of-Concept zeigt, können authentifizierte Angreifer durch diese Informationspreisgabe wertvollen Aufklärung für weitere Exploits erhalten – insbesondere für CVE-2025-47812, die kritische Remote-Code-Execution-Lücke. Diese Kombination macht die Schwachstellen besonders gefährlich.
Die kritischere Vulnerability CVE-2025-47812 wird bereits aktiv im großen Stil ausgebeutet. Laut Sicherheitsunternehmen Huntress nutzen Angreifer diese Lücke, um bösartige Lua-Dateien herunterzuladen und auszuführen, Aufklärung zu betreiben und Remote-Monitoring-Software zu installieren. Das deutet auf eine koordinierte Kampagne hin, möglicherweise mit dem Ziel, Systeme für längerfristige Kontrolle zu kompromittieren.
Alle betroffenen Versionen bis 7.4.3 sollten sofort auf Version 7.4.4 aktualisiert werden, die im Mai 2025 veröffentlicht wurde. Derzeit gibt es noch keine öffentlichen Informationen darüber, ob Angreifer CVE-2025-47813 und CVE-2025-47812 tatsächlich kombiniert einsetzen oder ob die Lücken bislang isoliert ausgenutzt werden.
Für Unternehmen und Behörden im deutschsprachigen Raum besteht dringender Handlungsbedarf. Wing FTP wird häufig in Unternehmensumgebungen für sichere Dateiübertragungen eingesetzt. Ein Sicherheitsaudit sollte klären, ob veraltete Versionen im Einsatz sind. Die US-Bundesbehörden (FCEB) haben eine Frist bis 30. März 2026 zur Behebung erhalten – ein Zeitrahmen, der auch für deutsche Organisationen als Orientierungspunkt dienen sollte, wobei schnelleres Handeln empfohlen wird.