U.S. CISA adds a flaw in Wing FTP Server to its Known Exploited Vulnerabilities catalog
2026/03/16 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Wing FTP Server の脆弱性 CVE-2025-47813 (CVSS:4.3) を Known Exploited Vulnerabilities (KEV) カタログへ追加した。この脆弱性 CVE-2025-47813 は、Wing FTP Server バージョン 7.4.4 未満に影響を及ぼす情報漏洩の欠陥である。この問題は、Web 認証プロセス中の “loginok.html” ページで発生する。
CVE.org のアドバイザリには、「Wing FTP Server バージョン 7.4.4 未満の “loginok.html” は、UID cookie において長い値が使用された場合に、アプリケーションのローカル・インストール・パス全体を開示してしまう」と記されている。
この脆弱性は、攻撃者が過度に長い UID cookie を送信した際に発生する。不適切な入力処理によりエラーが発生し、ローカル・インストール・パスを含む情報が、サーバから返されてしまう。
この脆弱性は、リモートコード実行を可能にするものではない。しかし、ファイル・システム情報が漏洩することで、偵察活動を許す結果となり、パスベース攻撃やファイルインクルード攻撃など後続攻撃の足がかりとなる可能性がある。
Binding Operational Directive (BOD) 22-01:”既知の悪用脆弱性による重大リスクの低減” によると、FCEB 機関は指定された期限までに対象脆弱性へ対処し、カタログに掲載された脆弱性を悪用する攻撃から、ネットワークを保護する必要がある。
CISA は連邦機関に対して、2026年03月30日までに、この脆弱性を修正するよう指示している。
専門家たちは民間組織に対しても KEV カタログを確認し、自社インフラに存在する脆弱性へ対応することを推奨している。
米国の CISA は、Wing FTP Server に存在する情報漏洩の脆弱性 CVE-2025-47813 を KEV カタログに追加しました。この問題の大きな原因は、Web 認証プロセスにおける不適切な入力値処理にあります。
この脆弱性は、バージョン 7.4.4 未満の環境において、認証時の cookie (UID) に極端に長い値を入力することで発動します。このような異常な入力を、サーバが正しく処理できずにエラーを返し、そのエラー・メッセージの中に、本来は秘匿されるべきサーバー内部のフルパスが含まれてしまいます。
この脆弱性だけで、リモートコード実行などの直接的な破壊が行われるわけではありません。しかし、攻撃者にとってサーバ内の詳細なディレクトリ構造を知ることは、ファイル・インクルード攻撃やパス移動攻撃など、後続攻撃を組み立てるための重要な偵察情報となります。
よろしければ、2025/07/14 の「Wing FTP Server の脆弱性 CVE-2025-47812:積極的な悪用が始まった」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.