Wing FTP Server در معرض تهدید RCE: نقص Lua و Null Byte در نسخه‌های قدیمی چگونه خطرناکند؟

آسیب‌پذیری CVE‑۲۰۲۵‑۴۷۸۱۲ در Wing FTP Server نسخه‌های ≤ ۷.۴.۳ به دلیل نادیده‌گرفتن کاراکتر null و تزریق کد Lua، امکان اجرای دستورات سیستمی با امتیازات root/SYSTEM را به مهاجمان می‌دهد. سوءاستفاده جدی و فعال از این ضعف فوراً پس از انتشار عمومی گزارش آغاز شد.

آسیب‌پذیری CVE‑۲۰۲۵‑۴۷۸۱۲ در Wing FTP Server نسخه‌های ۷.۴.۳ و قبل‌تر وجود دارد؛ نقصی بحرانی است که تحت عنوان RCE شناسایی شده و دارای امتیاز CVSS 10 است . نقص در رابط کاربری null/loginok.html رخ می‌دهد که کاراکتر را هنگام پردازش نام کاربری به‌درستی حذف نمی‌کند. این مسئله به مهاجم اجازه می‌دهد تا پس از نام معتبر، کد Lua دلخواهش را وارد کند که سپس در فایل session ذخیره و اجرا می‌شود.

بسیار خطرناک است زیرا Wing FTP به‌طور پیش‌فرض با امتیازات بالا اجرا می‌شود: root در لینوکس و NT AUTHORITY/SYSTEM در ویندوز. بنابراین اجرای کد مخرب باعث نفوذ کامل به سیستم خواهد شد.حتی اگر تأیید هویت لازم باشد، اگر ورود ناشناس (anonymous FTP) فعال باشد، مهاجم بدون احراز هویت نیز می‌تواند سوءاستفاده کند .جزئیات فنی توسط Julien Ahrens از RCE Security در تاریخ ۳۰ ژوئن ۲۰۲۵ منتشر شد و PoC سریعاً موجب حملات واقعی در تاریخ ۱ ژوئیه ۲۰۲۵ گردید.محققان Huntress مشاهده کردند مهاجمان فرمان‌هایی برای شناسایی سیستم، ایجاد کاربر جدید برای تداوم نفوذ، و تلاش برای دانلود ابزار مدیریتی مانند ScreenConnect ارسال کرده‌اند، اگرچه Defender میکروسافت مانع ادامه نفوذ شد .

به‌طور تقریبی بیش از ۸،۰۰۰ سرور Wing FTP در اینترنت فعال هستند و حدود ۵،۰۰۰ مورد دارای رابط وب باز بوده‌اند که ممکن است هنوز به‌روز نشده باشند.این آسیب‌پذیری همچنین توسط سازمان CISA در فهرست Known Exploited Vulnerabilities (KEV) قرار گرفته و مهلت patch تا ۴ اوت ۲۰۲۵ برای نهادهای فدرال ایالات متحده تعیین شده است.

راه‌حل فوری: ارتقا به نسخه ۷.۴.۴ منتشر شده در ۱۴ مه ۲۰۲۵، غیرفعال کردن ورود ناشناس FTP، محدود کردن دسترسی HTTP/S و نظارت دقیق بر دایرکتوری session برای شناسایی فایل‌های مشکوک Lua توصیه می‌شود

The Hacker News: Critical Wing FTP Server Vulnerability (CVE‑۲۰۲۵‑۴۷۸۱۲) Actively Being Exploited in the Wild