Die nun in den KEV-Katalog aufgenommene Schwachstelle CVE-2025-47813 betrifft das Endpunkt-Verhalten von Wing FTP Server beim Verarbeiten von Sitzungs-Cookies. Nach Darstellung der CISA entsteht der Fehler, wenn ein langer Wert im UID-Cookie übergeben wird: Das Programm erzeugt eine Fehlermeldung, die sensible Informationen enthält und so den Installationspfad der Anwendung verrät.

Die technischen Hintergründe stammen von Julien Ahrens von RCE Security, der die Lücke verantwortungsvoll offengelegt hatte. In einem auf GitHub veröffentlichten Proof-of-Concept beschreibt Ahrens, dass der Endpunkt unter “/loginok.html” den Wert des UID-Sitzungs-Cookies nicht ordnungsgemäß prüft. Übersteigt der übergebene Wert die maximale Pfadlänge des zugrunde liegenden Betriebssystems, löst dies eine Fehlermeldung aus, die den vollständigen lokalen Serverpfad offenlegt.

Laut Ahrens kann ein erfolgreicher Angriff einem authentifizierten Angreifer den lokalen Serverpfad der Anwendung verschaffen — eine Information, die das Ausnutzen weiterer Schwachstellen wie CVE-2025-47812 erleichtern kann.

Diese zweite Schwachstelle, CVE-2025-47812, wird mit dem maximalen CVSS-Wert von 10,0 bewertet und erlaubt das Ausführen von Schadcode aus der Ferne. Sie wurde mit derselben Version 7.4.4 behoben. Seit Juli 2025 wird sie aktiv ausgenutzt. Nach Angaben von Huntress haben Angreifer sie genutzt, um schädliche Lua-Dateien herunterzuladen und auszuführen, Aufklärung zu betreiben und Software zur Fernüberwachung und -verwaltung zu installieren.

Wie CVE-2025-47813 in der Praxis ausgenutzt wird und ob dies in Verbindung mit CVE-2025-47812 geschieht, ist bislang nicht bekannt. Die CISA empfiehlt den US-Bundesbehörden der zivilen Exekutive (Federal Civilian Executive Branch), die erforderlichen Korrekturen bis zum 30. März 2026 einzuspielen.