Wing FTP Server è un’applicazione di trasferimento file multipiattaforma che supporta FTP, FTPS, SFTP, HTTP/S ed include un motore di scripting Lua incorporato.
CVE-2019-5418 consente agli attaccanti di eseguire codice Lua a livello root/SYSTEM da remoto e, se abilitato, senza autenticazione.
La vulnerabilità interessa le versioni di Wing FTP Server precedenti alla 7.4.4.

Riassunto tecnico

La vulnerabilità deriva da una gestione impropria dei byte nulli (\0) nei parametri HTTP POST durante il login. In particolare, il bug risiede nel modo in cui Wing FTP costruisce e scrive i file di sessione utente, come loginok.html.

Gli attaccanti possono inviare una richiesta POST con:

username=ValidUsername%00]]SomeLuaCode--

Oppure anche:

username=anonymous%00]]SomeLuaCode--

Nel dettaglio:

• La sessione per l’utente valido viene creata con successo;
• Il byte nullo interrompe l’elaborazione della stringa;
• il ]] chiude la sintassi precedente;
• Il codice Lua viene memorizzato;
• Il — commenta il precedente ]].

Dopo la creazione riuscita del file oggetto della sessione, gli attaccanti inviano un’altra richiesta HTTP GET a qualsiasi altro endpoint, che attiva l’esecuzione del codice Lua.

• Attacco Autenticato/Non Autenticato: La vulnerabilità richiede autenticazione; tuttavia, se abilitati lato server, anche account anonimi possono essere utilizzati per lo sfruttamento.
• Attivamente sfruttata: Numerosi ricercatori di sicurezza hanno segnalato che CVE-2025-47812 è attivamente sfruttata in ambiente reale.

Raccomandazioni

1. Applicare la Patch Immediatamente: Aggiornare tutte le istanze di Wing FTP alla versione 7.4.4.
2. Rimuovere o Rinforzare l’Accesso Anonimo: Disabilitare gli account FTP anonimi salvo stretta necessità. L’autenticazione rappresenta attualmente un vettore di attacco.
3. Monitoraggio: Analizzare i file di sessione per anomalie come file .lua eccessivamente grandi o contenenti caratteri sospetti. Revisionare i log e monitorare le richieste POST relative a loginok.html.