Думали — мелкая утечка. Оказалось — ключ к взлому. Опасный 0-day в Wing FTP рисует хакерам карту: вот файлы, крадите
NewsMakerCISA внесла уязвимость в список эксплуатируемых. И это очень плохие новости.
CISA предупредило федеральные ведомства США о продолжающихся атаках на Wing FTP Server. В центре внимания оказалась не самая громкая уязвимость из этого набора, а CVE-2025-47813 - дефект с раскрытием служебной информации, который помогает злоумышленникам точнее бить по серверу и, по оценке исследователей, может использоваться в связке с уже известной уязвимостью удаленного выполнения кода . Агентство внесло проблему в каталог KEV , то есть в список уязвимостей, которые уже эксплуатируют на практике.
Wing FTP Server - кроссплатформенный сервер для передачи файлов с поддержкой FTP, SFTP и веб-доступа. Разработчики заявляют о более чем 10 тысячах клиентов по всему миру, среди которых упоминаются ВВС США, Sony, Airbus, Reuters и Sephora. На таком фоне даже уязвимость с ограниченным эффектом перестает выглядеть второстепенной, потому что речь идет о продукте, который часто стоит на внешнем периметре и работает с чувствительными файлами.
Проблема CVE-2025-47813 позволяет атакующему с низкими привилегиями узнать полный локальный путь установки приложения на не обновленном сервере. Сам по себе такой дефект не дает прямого захвата машины, но заметно упрощает дальнейшую атаку: сервер фактически подсказывает, где лежат нужные файлы и как устроена внутренняя структура установки. Исследователь Жюльен Аренс, который обнаружил и описал проблемы в Wing FTP, отдельно отмечал, что такая утечка может помогать при эксплуатации CVE-2025-47812 , критической уязвимости удаленного выполнения кода.
Исправление для CVE-2025-47813 вышло еще в мае 2025 года в версии Wing FTP Server 7.4.4. Тогда же разработчики закрыли и две более опасные проблемы: CVE-2025-47812 с удаленным выполнением кода и CVE-2025-27889 , дефект с раскрытием информации, который можно было использовать для кражи пароля пользователя. Именно CVE-2025-47812 быстро стала главной темой, потому что злоумышленники начали применять ее почти сразу после публикации технических деталей.
CISA предупредило федеральные ведомства США о продолжающихся атаках на Wing FTP Server. В центре внимания оказалась не самая громкая уязвимость из этого набора, а CVE-2025-47813 - дефект с раскрытием служебной информации, который помогает злоумышленникам точнее бить по серверу и, по оценке исследователей, может использоваться в связке с уже известной уязвимостью удаленного выполнения кода . Агентство внесло проблему в каталог KEV , то есть в список уязвимостей, которые уже эксплуатируют на практике.
Wing FTP Server - кроссплатформенный сервер для передачи файлов с поддержкой FTP, SFTP и веб-доступа. Разработчики заявляют о более чем 10 тысячах клиентов по всему миру, среди которых упоминаются ВВС США, Sony, Airbus, Reuters и Sephora. На таком фоне даже уязвимость с ограниченным эффектом перестает выглядеть второстепенной, потому что речь идет о продукте, который часто стоит на внешнем периметре и работает с чувствительными файлами.
Проблема CVE-2025-47813 позволяет атакующему с низкими привилегиями узнать полный локальный путь установки приложения на не обновленном сервере. Сам по себе такой дефект не дает прямого захвата машины, но заметно упрощает дальнейшую атаку: сервер фактически подсказывает, где лежат нужные файлы и как устроена внутренняя структура установки. Исследователь Жюльен Аренс, который обнаружил и описал проблемы в Wing FTP, отдельно отмечал, что такая утечка может помогать при эксплуатации CVE-2025-47812 , критической уязвимости удаленного выполнения кода.
Исправление для CVE-2025-47813 вышло еще в мае 2025 года в версии Wing FTP Server 7.4.4. Тогда же разработчики закрыли и две более опасные проблемы: CVE-2025-47812 с удаленным выполнением кода и CVE-2025-27889 , дефект с раскрытием информации, который можно было использовать для кражи пароля пользователя. Именно CVE-2025-47812 быстро стала главной темой, потому что злоумышленники начали применять ее почти сразу после публикации технических деталей.