A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou uma nova vulnerabilidade ao seu catálogo de falhas exploradas ativamente (KEV), acendendo um alerta para organizações que utilizam o Wing FTP Server. A falha, identificada como CVE-2025-47813, permite o vazamento de informações sensíveis, incluindo o caminho de instalação da aplicação no servidor.

Apesar de classificada com severidade moderada (CVSS 4.3), a vulnerabilidade já está sendo explorada ativamente por hackers, o que aumenta significativamente o risco operacional. O problema ocorre devido a um erro na geração de mensagens de erro quando valores excessivamente longos são inseridos no cookie de sessão UID.

Na prática, ao manipular esse parâmetro, um invasor autenticado consegue forçar o sistema a retornar mensagens contendo o caminho completo do servidor onde o Wing FTP está instalado. Esse tipo de informação, embora pareça simples, pode ser extremamente valioso em ataques mais sofisticados.

A vulnerabilidade afeta todas as versões do Wing FTP até a versão 7.4.3. A correção foi disponibilizada na versão 7.4.4, lançada em maio de 2025, após divulgação responsável realizada pelo pesquisador Julien Ahrens, da RCE Security.

Além disso, a mesma atualização também corrige outra falha crítica ainda mais grave: a CVE-2025-47812, com pontuação máxima de severidade (CVSS 10.0), que permite execução remota de código (RCE). Essa vulnerabilidade já havia sido observada sendo explorada ativamente desde julho de 2025.

Relatórios anteriores indicam que hackers têm utilizado essa falha crítica para baixar e executar arquivos maliciosos em linguagem Lua, realizar reconhecimento no ambiente comprometido e instalar ferramentas de acesso remoto (RMM), ampliando o controle sobre os sistemas afetados.

A análise técnica do problema revela que o endpoint /loginok.html não valida corretamente o valor do cookie UID. Quando esse valor ultrapassa o tamanho máximo suportado pelo sistema operacional, o servidor gera uma mensagem de erro que expõe o caminho completo da aplicação no ambiente local.

Embora a CVE-2025-47813 seja, isoladamente, uma falha de divulgação de informações, especialistas alertam que esse tipo de vulnerabilidade pode servir como etapa inicial para ataques mais complexos. Em especial, ela pode ser utilizada em conjunto com a falha de execução remota de código, facilitando a exploração completa do sistema.

Até o momento, não há detalhes públicos sobre como exatamente essa vulnerabilidade está sendo explorada em ataques reais, nem se está sendo utilizada em cadeia com outras falhas. No entanto, o fato de ter sido incluída no catálogo KEV da CISA indica que há evidências concretas de exploração ativa.

Diante desse cenário, a recomendação é clara: organizações devem atualizar imediatamente o Wing FTP Server para a versão corrigida. A CISA estabeleceu o prazo até 30 de março de 2026 para que agências federais dos EUA apliquem as correções necessárias, reforçando a urgência da mitigação.

O caso evidência um ponto crítico na segurança cibernética: mesmo vulnerabilidades consideradas de baixa ou média severidade podem se tornar altamente perigosas quando combinadas com outras falhas ou utilizadas em cadeias de ataque mais elaboradas.

Para equipes de segurança, isso exige uma abordagem contínua de gestão de vulnerabilidades e correções rápidas, especialmente em softwares expostos à internet.