Wing FTP Server 严重远程代码执行漏洞遭快速利用：CVE-2025-47812 深度解析

近期黑客在Wing FTP Server技术细节曝光后的第一天就迅速利用了其中的一个严重远程代码执行RCE漏洞。攻击者执行了多项枚举和侦察命令并通过创建新用户实现了持久性控制。Remote Code Execution Vulnerability Guide - Patch My PC该漏洞被追踪为CVE-2025-47812获得最高严重性评分。它是空字节注入与Lua代码注入的组合允许未经身份验证的远程攻击者以系统最高权限root/SYSTEM执行任意代码。Wing FTP Server是一款强大的安全文件传输解决方案支持Lua脚本执行广泛应用于企业和SMB环境。What Is the Difference Between FTP, FTPS, SFTP?安全研究员Julien Ahrens近期发布的技术分析文章指出漏洞根源在于C中对以空字节结尾的字符串的不安全处理以及Lua中输入验证的不足。SQL Injection: Attacks Defenses | by Mostafa Moradian | GatewayD Labs研究人员演示攻击者可在用户名字段插入空字节绕过身份验证检查并将恶意Lua代码注入会话文件。当服务器后续执行这些文件时即可实现root/SYSTEM权限下的任意代码执行。除CVE-2025-47812外研究人员还披露了Wing FTP Server的其他三个漏洞CVE-2025-27889通过构造URL窃取登录表单中的用户密码因JavaScript变量中不安全地包含密码。CVE-2025-47811Wing FTP默认以root/SYSTEM身份运行缺乏沙箱或权限下降机制进一步放大RCE风险。CVE-2025-47813过长的UID cookie会导致文件系统路径泄露。以上所有漏洞均影响7.4.3及更早版本。供应商已于2025年5月14日发布7.4.4版本修复了大部分问题但CVE-2025-47811被视为非关键未进行修复。网络安全平台Huntress的威胁研究人员针对CVE-2025-47812制作了概念验证PoC并观察到真实攻击行为。What is RCE vulnerability? Remote code execution meaningHuntress研究人员发现在7月1日即技术细节公开次日至少一名攻击者已利用其客户环境的该漏洞。攻击者向“loginok.html”发送包含空字节注入的畸形登录请求创建恶意session.lua文件并注入Lua代码。注入代码会十六进制解码有效载荷通过cmd.exe执行并使用certutil从远程下载恶意软件并运行。同一Wing FTP实例在短时间内遭受五个不同IP的攻击表明可能有多名威胁行为者进行大规模扫描和利用。观察到的命令涉及系统侦察、建立持久性以及使用cURL和webhook进行数据外泄。Huntress表示攻击失败“可能因攻击者对软件不熟悉或微软Defender阻挡了部分载荷”但仍显示出黑客对Wing FTP关键漏洞的积极尝试。即使本次攻击未完全成功黑客仍可能持续扫描可公开访问的Wing FTP实例。因此强烈建议企业尽快升级至7.4.4版本。若暂时无法升级研究人员建议禁用或严格限制Wing FTP Web门户的HTTP/HTTPS访问禁用匿名登录持续监控会话目录的可疑文件新增。Patch Management in 2026: Benefits, Best Practices Tools及时升级与强化访问控制是防范类似零日利用的最有效措施。