CISA stuft ein Jahr alte Wing-FTP-Schwachstelle als aktiv ausgenutzt ein
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Die US-Cybersicherheitsbehörde CISA hat am Montag gewarnt, dass eine bereits ein Jahr alte Schwachstelle in Wing FTP aktiv ausgenutzt wird. Wing FTP ist ein kostenloser, abgesicherter FTP-Server für Windows, macOS und Linux, der mehrere Dateiübertragungsprotokolle unterstützt und es Administratoren erlaubt, den Server über eine webbasierte Oberfläche aus der Ferne zu verwalten und zu überwachen. Die unter CVE-2025-47813 geführte Lücke ist mit mittlerem Schweregrad bewertet und kann den vollständigen lokalen Installationspfad der Anwendung offenlegen. Ausgelöst wird dies, wenn in der UID-Cookie einer angemeldeten Sitzung ein überlanger Wert verwendet wird. Bekannt wurde die Schwachstelle am 14. Mai 2025, als mit Wing FTP Server in Version 7.4.4 die zugehörigen Patches veröffentlicht wurden. CISA nahm den Fehler nun in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf und forderte US-Bundesbehörden auf, ihn bis zum 30. März zu beheben. Die Aufnahme in den KEV-Katalog gilt als Beleg dafür, dass die Lücke tatsächlich in Angriffen genutzt wird.
Betroffen ist der Endpunkt loginok.html von Wing FTP, der die UID-Cookie nicht ordnungsgemäß validierte. Dadurch konnte ein Angreifer durch Übergabe eines überlangen Werts den vollständigen Installationspfad ermitteln.
„Wird auf diesem Weg ein Wert übergeben, der länger ist als die maximale Pfadgröße des zugrunde liegenden Betriebssystems, wird eine Fehlermeldung ausgelöst, die den vollständigen lokalen Serverpfad preisgibt“, erläuterte Julien Ahrens von RCE Security. Er hatte die Schwachstelle gefunden und Proof-of-Concept-Code dazu veröffentlicht.
Nach Darstellung des Sicherheitsforschers könnten Angreifer den lokalen Serverpfad der Anwendung nutzen, um weitere Schwachstellen in Wing FTP auszunutzen. Dazu zählt CVE-2025-47812, eine als kritisch eingestufte Lücke, die zur Remotecodeausführung führt.
Auch CVE-2025-47812 wurde mit Wing FTP Server 7.4.4 behoben. Diese Lücke wurde im Juni 2025 als ausgenutzt gemeldet, als Censys erklärte, dass rund 5.000 über das Internet erreichbare Server vermutlich über POST-Anfragen angreifbar seien. CVE-2025-47812 wurde im Juli 2025 in den KEV-Katalog der CISA aufgenommen.