Recientemente la agencia estadounidense CISA ha incluido en su catálogo una vulnerabilidad crítica (CVE-2025-47812) teniendo una criticidad de CVSS: 10/10.
Esta presente en Wing FTP Server, siendo esta utilizada ampliamente por entidades como la Fuerza Aérea de EE. UU, Airbus, Reuters y Sony. Se advierte que esta vulnerabilidad ya esta siendo explotada en ataque reales, esta garantiza un compromiso total del servidor.
Se ordeno a las agencias federales parcharlo antes del 4 de agosto de 2025.
Esta vulnerabilidad se suma a una seria de fallas similares en herramientas como MOVEit, CrushFTP, GoAnywhere, Accellion y Aspera, que en los últimos años han sido blancos recurrentes de atacantes por su uso en la transferencia de datos críticos.
¿Qué permite la vulnerabilidad?
Permite a un atacante inyectar código malicioso usando un carácter NULL (x00) en campos no validados del sistema de script de Wing FTP. Eso engaña al servidor para ejecutar comandos arbitrarios con permisos elevados, lo que se conoce como una ejecución remota de comando (RCE), una de las formas más peligrosas de vulnerabilidad en ciberseguridad.
En su momento amenazas similares han sido explotadas anteriormente por grupos de ransomware como CIOp o FIN11, que suelen apuntar a soluciones de transferencia de archivos por su acceso a datos sensibles y respaldo limitado.
¿Cuáles son las versiones afectadas?
Todas las versiones publicadas antes de la 7.4.4, tanto para Windows, Linux como macOS.
Herramientas explotando esta vulnerabilidad
Según investigadores el código de explotación ya circula en foros de hacking, No se tiene el exploit completo, además, en plataformas como GitHub o XSS.is se ha comenzado a ver actividad sospechosa relacionada con scripts Lua maliciosos.
Recomendaciones
- Actualiza inmediatamente a la versión 7.4.4 o superior.
- Asegúrate de que la consola web de administración no esté expuesta a Internet.
- Usa reglas de firewall para permitir el acceso solo desde IPs internas o de administración confiables.
- Asegúrate de tener respaldos aislados y verificados del sistema Wing FTP Server y su configuración.
