Betroffen ist der Endpunkt loginok.html von Wing FTP, der die UID-Cookie nicht ordnungsgemäß validierte. Dadurch konnte ein Angreifer durch Übergabe eines überlangen Werts den vollständigen Installationspfad ermitteln.

„Wird auf diesem Weg ein Wert übergeben, der länger ist als die maximale Pfadgröße des zugrunde liegenden Betriebssystems, wird eine Fehlermeldung ausgelöst, die den vollständigen lokalen Serverpfad preisgibt“, erläuterte Julien Ahrens von RCE Security. Er hatte die Schwachstelle gefunden und Proof-of-Concept-Code dazu veröffentlicht.

Nach Darstellung des Sicherheitsforschers könnten Angreifer den lokalen Serverpfad der Anwendung nutzen, um weitere Schwachstellen in Wing FTP auszunutzen. Dazu zählt CVE-2025-47812, eine als kritisch eingestufte Lücke, die zur Remotecodeausführung führt.

Auch CVE-2025-47812 wurde mit Wing FTP Server 7.4.4 behoben. Diese Lücke wurde im Juni 2025 als ausgenutzt gemeldet, als Censys erklärte, dass rund 5.000 über das Internet erreichbare Server vermutlich über POST-Anfragen angreifbar seien. CVE-2025-47812 wurde im Juli 2025 in den KEV-Katalog der CISA aufgenommen.