Wing FTP Server の脆弱性 CVE-2025-47812 が FIX：認証不要の RCE と PoC の存在

Wing FTP Server Vulnerability Allows Full Server Takeover by Attackers

20225/07/03 gbhackers — Wing FTP Server に発見された深刻な脆弱性により、未認証のリモート・コード実行 (RCE) を悪用する攻撃者に、世界中の何千ものサーバが完全に乗っ取られる可能性が生じている。この脆弱性は CVE-2025-47812 として追跡され、CVSS v4 ベース・スコアの最大値である 10.0 が割り当てられている。それが示すのは、深刻度の高さと悪用の容易さである。

脆弱性の詳細

この脆弱性を発見したのは、RCE Security のセキュリティ研究者 Julien Ahrens であり、Wing FTP Server のバージョン 7.4.3 以下に影響を及ぼすとされる。

この問題は、”/loginok.html” エンドポイントでユーザー名パラメーターを処理する際の、NULL バイトに対する不適切な処理に起因する。この不備を突く攻撃者は、ユーザー・セッション・ファイルに任意の Lua コードを注入できる。

GitHub 上のアドバイザリには、「この脆弱性を悪用する未認証の攻撃者は、基盤となるサーバ上で任意のコマンド実行の可能性を得る。Wing FTP のデフォルト設定により、Linux は root ユーザーとして、Windows は NT AUTHORITY/SYSTEM ユーザーとして実行されるため、基盤となるサーバの実質的な完全制御を意味する」と記されている。

公開 FTP サービスの一般的なシナリオである 、匿名ユーザーを許可するサーバ設定のケースでは、攻撃において認証は不要となり、脅威アクターによる悪用は容易になる。

PoC エクスプロイト

この脆弱性は、単純な HTTP POST リクエストを送信するだけでトリガーできる。したがって攻撃者は、NULL バイトと Lua コードを取り込んだ悪意のユーザー名パラメーターを作成することで、システム・レベルでのコマンド実行を可能にする。

以下のペイロードの例が、この脆弱性の危険度を示している：

POST /loginok.html HTTP/1.1
Host: localhost
...
username=anonymous%00]]%0dlocal+h+%3d+io.popen("id")%0dlocal+r+%3d+h%3aread("*a")%0dh%3aclose()%0dprint(r)%0d--&password=correct

緊急の対応が推奨される

すでに Wing FTP Server は、バージョン 7.4.4 をリリースし、この脆弱性に対処している。

すべてのユーザーに対して強く推奨されるのは、速やかにアップデートを行い、この脆弱性の悪用を防ぐことである。さらに、影響を受けるバージョンを使用している組織は、サーバーのログを調査して侵害の兆候を確認し、可能な範囲で匿名アクセスを制限すべきである。

タイムライン

• 2025-05-10: 脆弱性が発見され、ベンダーに報告された
• 2025-05-14: パッチがリリースされた (バージョン 7.4.4) 
• 2025-06-30: 情報が公開された

Wing FTP Server は、FTP／FTPS／HTTP／HTTPS／SFTP プロトコルをサポートする、クロス・プラットフォームのファイル転送ソリューションである。その人気から Linux と Windows で広く利用されている。ただし、デフォルトにおいて高権限で実行されるため、この脆弱性はきわめて危険なものとなる。

この情報の公開が浮き彫りにするのは、攻撃者が脆弱性を悪用する前に、問題を特定／是正する、継続的なペネトレーションテストと外部攻撃面の管理の重要性である。

セキュリティ専門家たちが推奨するのは、定期的な更新／厳格なアクセス制御／不審な活動の監視などによる、同様のリスクの軽減である。

Wing FTP Server に、深刻な脆弱性 CVE-2025-47812 が発見されました。単純な HTTP POST リクエストを送信するだけでトリガーできるという、きわめて危険な脆弱性であり、PoC も提供されています。ご利用のチームは、十分に ご注意ください。よろしければ、FTP で検索も、ご参照ください。