A vulnerabilidade CVE-2025-47813 permite obter o caminho local de instalação do Wing FTP e pode auxiliar cadeias de exploração contra falhas mais críticas no mesmo produto.
| Componente | Wing FTP em versões anteriores ou iguais à 7.4.3 |
| Vetor | Exploração de uma falha de divulgação de informação, acionável por atacante autenticado sob determinadas condições |
| Impacto | Exposição do caminho local de instalação da aplicação, informação que pode ajudar na exploração de outras falhas do mesmo produto |
| Prioridade | Atualizar para a versão 7.4.4 ou posterior e revisar sinais de exploração em servidores Wing FTP expostos |
| Versões | Afeta todas as versões do Wing FTP até a 7.4.3; correção disponibilizada na 7.4.4 |
| Artefatos | CVE-2025-47813 tem CVSS 4.3; a versão corrigida também trata CVE-2025-47812, falha de execução remota de código com CVSS 10.0 |
A vulnerabilidade CVE-2025-47813 no Wing FTP foi adicionada ao catálogo de vulnerabilidades conhecidas exploradas da CISA após evidência de exploração ativa. A falha tem severidade média, com CVSS 4.3, e não representa por si só uma execução remota de código nem uma exposição direta de arquivos de usuários. O efeito confirmado é a divulgação do caminho de instalação local da aplicação em condições específicas, um dado que pode parecer limitado isoladamente, mas que ganha peso operacional quando combinado com outras falhas no mesmo ambiente.
O produto afetado é o Wing FTP em todas as versões anteriores ou iguais à 7.4.3. A correção foi entregue na versão 7.4.4, lançada em maio após divulgação responsável pelo pesquisador Julien Ahrens, da RCE Security. Essa mesma versão também corrige CVE-2025-47812, uma vulnerabilidade crítica no Wing FTP com CVSS 10.0 que permite execução remota de código. A relação defensiva entre as duas falhas é relevante: a divulgação do caminho local por CVE-2025-47813 pode fornecer informação auxiliar para exploração de vulnerabilidades como CVE-2025-47812, embora não haja detalhe público suficiente para afirmar que as duas estejam sendo exploradas juntas nos casos observados.
CVE-2025-47813 é uma falha de divulgação de informação. O cenário descrito envolve um atacante autenticado que consegue obter o caminho local do servidor onde a aplicação Wing FTP está instalada. Esse tipo de dado reduz incerteza durante uma cadeia de exploração porque revela convenções de diretório, localização da aplicação e possíveis caminhos usados por scripts, extensões ou componentes internos. Em um servidor endurecido, a exposição de caminho não deve ser tratada como impacto final equivalente a comprometimento total; ela deve ser entendida como uma peça de reconhecimento que pode melhorar a precisão de ações subsequentes.
A principal preocupação operacional está no acoplamento com vulnerabilidades de maior impacto no mesmo produto. A versão 7.4.4 também corrige CVE-2025-47812, descrita como falha crítica de execução remota de código. Em atividade observada anteriormente contra essa falha crítica, invasores usaram o acesso para baixar e executar arquivos Lua maliciosos, realizar reconhecimento e instalar software de monitoramento e gerenciamento remoto. Esses detalhes pertencem à exploração de CVE-2025-47812, não à falha de divulgação de caminho em si; ainda assim, eles mostram por que a atualização do Wing FTP precisa ser tratada como prioridade de superfície, e não como correção isolada de severidade média.
Não há detalhes públicos suficientes sobre o método exato usado na exploração ativa de CVE-2025-47813. Também não há confirmação de que ela esteja sendo abusada em conjunto com CVE-2025-47812. Por isso, a análise defensiva deve evitar suposições sobre payloads, sequência de requisições ou infraestrutura de comando e controle. O ponto verificável é que a falha entrou em um catálogo de exploração conhecida, afeta versões amplamente delimitadas e pode revelar um dado útil para atacantes que já tenham algum nível de autenticação.
A exposição principal recai sobre servidores Wing FTP que permanecem em versões até a 7.4.3, especialmente quando acessíveis por usuários autenticados que não deveriam receber detalhes do sistema operacional ou do layout local da aplicação. Ambientes de transferência de arquivos costumam concentrar contas de parceiros, áreas de upload, integrações automatizadas e permissões separadas por diretório. Nesses casos, qualquer vazamento de caminho local precisa ser avaliado junto com o modelo de permissões, a segregação de contas e a exposição externa do serviço.
Equipes responsáveis por infraestrutura devem identificar todas as instâncias do Wing FTP, inclusive servidores legados, sistemas mantidos por áreas de negócio e ambientes usados apenas para integrações pontuais. A correção na 7.4.4 é relevante não apenas para CVE-2025-47813, mas também porque contém o reparo para uma falha crítica de execução remota de código no mesmo produto. Para agências federais civis do Executivo dos Estados Unidos, a recomendação informada é aplicar as correções necessárias até 30 de março de 2026; em ambientes privados, a mesma data deve ser vista como referência de urgência, não como justificativa para adiar atualização em sistemas expostos.
Sistemas com autenticação ampla, contas compartilhadas, credenciais antigas ou acesso de terceiros têm risco operacional maior. Mesmo quando a falha exige autenticação, a defesa não deve assumir que todas as contas são confiáveis: credenciais podem ter sido reaproveitadas, contas de parceiros podem estar fora de governança e acessos antigos podem permanecer válidos após o fim de contratos ou integrações.
- Servidores Wing FTP em versões anteriores ou iguais à
7.4.3 - Instâncias expostas a usuários autenticados de terceiros, integrações automatizadas ou contas de baixa governança
- Ambientes que ainda não aplicaram a versão
7.4.4, que também corrigeCVE-2025-47812
Como o método de exploração de CVE-2025-47813 não foi detalhado, a investigação deve começar por inventário, versão instalada e revisão de logs de autenticação. A defesa deve procurar padrões de contas autenticadas acessando funcionalidades incomuns, erros de aplicação que revelem caminhos locais, respostas anômalas associadas a diretórios internos e picos de requisições vindas de contas que normalmente executam apenas transferências previsíveis. A presença de mensagens de erro contendo caminhos do servidor deve ser tratada como evidência de exposição de informação, mesmo que não confirme exploração bem-sucedida.
Para ambientes que também estavam vulneráveis a CVE-2025-47812, o hunting precisa ser ampliado para sinais de execução de arquivos Lua, criação ou alteração incomum de arquivos no diretório da aplicação, reconhecimento local e instalação de ferramentas de monitoramento e gerenciamento remoto não autorizadas. Esses sinais pertencem ao risco de comprometimento associado à falha crítica corrigida na mesma versão, mas são relevantes porque um servidor que permaneceu desatualizado pode ter sido exposto a mais de uma condição de ataque.
A análise deve correlacionar autenticação, origem de acesso, ações administrativas, mudanças no sistema de arquivos e telemetria de endpoint. Eventos isolados de falha de login não bastam para caracterizar exploração, mas acessos bem-sucedidos seguidos de respostas de erro, enumeração de rotas, alterações em scripts ou execução de processos incomuns justificam contenção e preservação de evidências.
- Contas autenticadas acessando funções ou rotas que não fazem parte do uso normal do serviço
- Erros de aplicação ou respostas que exponham caminhos locais de instalação do Wing FTP
- Arquivos Lua criados, modificados ou executados sem mudança administrativa esperada
- Instalação de software RMM não autorizado após atividade anômala no servidor
- Reconhecimento local, execução de processos incomuns ou mudanças inesperadas no diretório da aplicação
A mitigação principal é atualizar o Wing FTP para a versão 7.4.4 ou posterior. A atualização deve ser acompanhada de validação de versão, reinício controlado quando necessário e confirmação de que todas as instâncias foram cobertas. Em organizações com múltiplos servidores de transferência de arquivos, o inventário deve incluir ativos internos, servidores publicados na internet, ambientes de contingência e máquinas usadas por integrações antigas. Corrigir apenas o servidor principal pode deixar uma instância secundária vulnerável e ainda acessível por credenciais válidas.
Depois da atualização, a equipe deve revisar contas, remover acessos obsoletos, reduzir privilégios, verificar logs recentes e investigar qualquer evidência de divulgação de caminhos ou comportamento compatível com exploração da falha crítica corrigida na mesma versão. Quando houver sinais de execução de Lua maliciosa, reconhecimento ou instalação de RMM sem autorização, a resposta deve seguir processo de incidente: preservação de logs, isolamento do host quando necessário, revisão de persistência, rotação de credenciais associadas ao serviço e análise de integridade dos arquivos da aplicação.
A correção também deve ser acompanhada de endurecimento. Servidores Wing FTP expostos devem ter acesso administrativo restrito, autenticação revisada, contas de terceiros governadas por prazo e necessidade, monitoramento de alterações no diretório da aplicação e alertas para instalação de ferramentas remotas. Como CVE-2025-47813 fornece informação útil ao atacante, a defesa deve reduzir a utilidade dessa informação com boas permissões locais, segregação de serviço e controle rigoroso sobre scripts e componentes executáveis.
- Atualizar todas as instâncias do Wing FTP para
7.4.4ou versão posterior - Revisar logs de autenticação, respostas de erro e eventos de aplicação após a janela provável de exposição
- Procurar sinais associados à exploração de
CVE-2025-47812em servidores que também estavam desatualizados - Remover contas antigas, reduzir privilégios e validar acessos de terceiros
- Monitorar alterações em arquivos Lua, diretórios da aplicação e instalação de ferramentas RMM
0 Comentários