原文链接: https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247521812&idx=1&sn=5ecc8850e0fa97af3db87933221ead59

Critical Wing FTP 服务器漏洞 （CVE-2025-47812） 在野外被积极利用

船山信安 2025-07-14 04:14

据 Huntress 称，最近披露的会影响 Wing FTP 服务器的最高严重性安全漏洞已在野外被积极利用。

该漏洞被跟踪为 CVE-2025-47812（CVSS 分数：10.0），是在服务器的 Web 界面中不正确处理空 （’\0’） 字节的情况，这允许远程代码执行。此问题已在版本 7.4.4 中得到解决。

“用户和管理 Web 界面错误地处理了 ‘\0’ 字节，最终允许将任意 Lua 代码注入用户会话文件，”根据 CVE.org 上的漏洞公告。“这可用于以 FTP 服务（默认为 root 或 SYSTEM）的权限执行任意系统命令。”

更令人担忧的是，该漏洞可以通过匿名 FTP 帐户被利用。该漏洞的全面细分于 2025 年 6 月底进入公共领域，由 RCE 安全研究员 Julien Ahrens 提供。

网络安全公司 Huntress 表示，它观察到威胁行为者利用该漏洞下载和执行恶意 Lua 文件、进行侦察以及安装远程监控和管理软件。

“CVE-2025-47812 源于在 username 参数中如何处理空字节（特别是与处理身份验证过程的 loginok.html 文件有关），”Huntress 研究人员说。“这可让远程攻击者在 username 参数中使用 null 字节后执行 Lua 注入。”

“通过利用空字节注入，攻击者会破坏存储这些会话特征的 Lua 文件中的预期输入。”

2025 年 7 月 1 日，在漏洞利用细节披露仅一天后，首次观察到针对单个客户主动利用的证据。据说在获得访问权限后，威胁行为者运行了枚举和侦察命令，创建了新用户作为一种持久性形式，并删除了 Lua 文件以删除 ScreenConnect 的安装程序。

没有证据表明远程桌面软件实际上已安装，因为攻击在进一步发展之前就被检测到并停止了。目前尚不清楚谁是该活动的幕后黑手。

来自 Censys 的数据显示，有 8,103 台可公开访问的设备运行 Wing FTP Server，其中 5,004 台的 Web 界面暴露。大多数实例位于美国、中国、德国、英国和印度。

鉴于主动利用，用户必须迅速行动起来，应用最新的补丁并更新他们的 Wing FTP 服务器版本 7.4.4 或更高版本。

来源：黑客新闻网