Уязвимость CVE-2025-47812 получила максимальную оценку опасности (CVSS 10.0), поскольку позволяет удалённое выполнение произвольного кода на уязвимом сервере. Проблема была обнаружена и сообщена специалистами из RCE Security, однако технические детали они опубликовали лишь 30 июня — более чем через месяц после выхода патча.
Wing FTP Server представляет собой популярное межплатформенное решение для передачи файлов, поддерживающее протоколы FTP, FTPS, SFTP и HTTP/S. Программой, по данным разработчиков, пользуются более 10 000 клиентов по всему миру, включая Airbus, Reuters и ВВС США. Уязвимость затрагивает механизм обработки имени пользователя в веб-интерфейсе Wing FTP. При передаче имени, содержащего null-байт (%00), всё, что следует после него, интерпретируется как Lua-код. Этот код сохраняется в сессионном файле и затем исполняется при десериализации, что позволяет злоумышленнику получить полный контроль над сервером.
По данным Huntress, первые атаки начались уже 1 июля, менее чем через 24 часа после раскрытия уязвимости. Злоумышленники явно опирались на опубликованную техническую информацию. Сначала исследователи зафиксировали три подключения к серверу-жертве, а затем появился четвёртый атакующий, который начал активно сканировать файловую систему, создавать новых пользователей и пытаться закрепиться в системе. Исследователи настоятельно рекомендуют всем пользователям Wing FTP обновиться до версии 7.4.4, содержащей исправление.
Этот инцидент также высветил уязвимость устаревших протоколов. FTP был создан в 1970-х годах, и безопасность тогда не являлась чем-то важным. Хотя Wing FTP поддерживает более защищённые протоколы вроде SFTP и MFT, они доступны только в коммерческих версиях. Многие современные проекты, такие как Chrome, Firefox и Debian, давно отказались от поддержки FTP, отражая общее изменение отношения к этому протоколу в профессиональной среде.