La infraestructura de transferencia de archivos de miles de empresas está en la mira de los ciberdelincuentes. CISA ha emitido una orden urgente para parchear una vulnerabilidad que permite descubrir la ruta completa del servidor y que está siendo encadenada con otro fallo de ejecución remota de código.
La seguridad de las transferencias de archivos corporativos vuelve a estar en el centro del huracán. Este 16 de marzo de 2026, se reporta que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. ha emitido una advertencia crítica sobre una vulnerabilidad en Wing FTP Server que ya está siendo explotada de forma activa en la naturaleza.
El Peligro del “Path Disclosure”
Wing FTP Server es un popular software de servidor FTP multiplataforma que también ofrece transferencia segura de archivos mediante SFTP y servidores web. Según sus desarrolladores, es utilizado por más de 10,000 clientes a nivel mundial, incluyendo gigantes corporativos e institucionales como la Fuerza Aérea de EE. UU., Sony, Airbus, Reuters y Sephora.
El fallo, rastreado bajo el identificador CVE-2025-47813, es una vulnerabilidad de divulgación de información que presenta riesgos significativos:
- Permite a un atacante con bajos privilegios descubrir la ruta completa de instalación local de la aplicación en servidores que no han sido parcheados.
- CISA explica que la vulnerabilidad se activa al introducir un “valor excesivamente largo” en la cookie “UID”, lo que genera un mensaje de error del sistema que filtra esta información sensible al atacante.
- El investigador de seguridad Julien Ahrens, quien descubrió y reportó la falla (y publicó código de prueba de concepto o PoC en junio de 2025), advirtió que los atacantes pueden encadenar esta vulnerabilidad con un error crítico previo de Ejecución Remota de Código (RCE) (CVE-2025-47812) para tomar el control total del servidor.
Mandato de Acción Inmediata
Es importante destacar que los desarrolladores de Wing FTP Server ya habían parcheado estas vulnerabilidades en mayo de 2025, con el lanzamiento de la versión 7.4.4. Sin embargo, la persistencia de instancias sin actualizar ha motivado a los ciberdelincuentes a lanzar campañas de explotación.
Ante esta amenaza, CISA ha añadido la CVE-2025-47813 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). La agencia ha dado un plazo estricto de dos semanas a las agencias de la Rama Ejecutiva Civil Federal (FCEB) de EE. UU. para asegurar sus sistemas, cumpliendo con la Directiva Operativa Vinculante (BOD) 22-01. Además, CISA urge al sector privado a aplicar las mitigaciones de inmediato, y advierte: “Aplique las mitigaciones según las instrucciones del proveedor… o suspenda el uso del producto si no hay mitigaciones disponibles”.
