ISGroup Conseil en Cybersécurité

CVE-2025-47812 – Exécution de Code à Distance (RCE) – Wing FTP Server

Wing FTP Server est une application de transfert de fichiers multiplateforme qui prend en charge FTP, FTPS, SFTP, HTTP/S et inclut un moteur de script Lua intégré. La CVE-2019-5418 permet aux attaquants d’exécuter du code Lua au niveau root/SYSTEM à distance et, si cela est activé, sans authentification. La vulnérabilité affecte les versions de Wing FTP Server antérieures à la 7.4.4.

ProduitWingFTP sftpd
Date2025-07-14 14:56:57
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La vulnérabilité découle d’une gestion inappropriée des octets nuls (\0) dans les paramètres HTTP POST lors de la connexion. Plus précisément, le bug réside dans la manière dont Wing FTP construit et écrit les fichiers de session utilisateur, tels que loginok.html.

Les attaquants peuvent envoyer une requête POST avec :

username=ValidUsername%00]]SomeLuaCode--

Ou également :

username=anonymous%00]]SomeLuaCode--

En détail :

  • La session pour l’utilisateur valide est créée avec succès ;
  • L’octet nul interrompt le traitement de la chaîne ;
  • Le ]] ferme la syntaxe précédente ;
  • Le code Lua est mémorisé ;
  • Le commente le ]] précédent.

Après la création réussie du fichier objet de la session, les attaquants envoient une autre requête HTTP GET vers n’importe quel autre point de terminaison, ce qui déclenche l’exécution du code Lua.

  • Attaque authentifiée/non authentifiée : La vulnérabilité nécessite une authentification ; cependant, s’ils sont activés côté serveur, même les comptes anonymes peuvent être utilisés pour l’exploitation.
  • Exploitation active : De nombreux chercheurs en sécurité ont signalé que la CVE-2025-47812 est activement exploitée en conditions réelles.

Recommandations

  1. Appliquer le correctif immédiatement : Mettre à jour toutes les instances de Wing FTP vers la version 7.4.4.
  2. Supprimer ou renforcer l’accès anonyme : Désactiver les comptes FTP anonymes sauf en cas de nécessité absolue. L’authentification représente actuellement un vecteur d’attaque.
  3. Surveillance : Analyser les fichiers de session pour détecter des anomalies telles que des fichiers .lua excessivement volumineux ou contenant des caractères suspects. Examiner les journaux et surveiller les requêtes POST relatives à loginok.html.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *