Wing FTP服务器漏洞正遭活跃利用，CVSS评分10分

漏洞概况

美国网络安全和基础设施安全局（CISA）已将CVE-2025-47812列入其已知被利用漏洞（KEV）目录。该漏洞技术细节公开仅一天后，就出现确切的活跃利用报告。这个被评为CVSS 10分的严重远程代码执行（RCE）漏洞影响广泛部署的企业级安全文件传输解决方案Wing FTP服务器。

技术分析

该漏洞结合了空字节注入与不安全的Lua代码执行，允许未经身份验证的攻击者以root或SYSTEM权限执行任意代码。据发布技术分析的研究员Julien Ahrens指出，漏洞根源在于C++中对空终止字符串的不安全处理，以及Lua脚本中不充分的输入净化机制。

7月1日（漏洞公开24小时后），威胁情报平台Huntress检测到针对其客户的攻击尝试。攻击者通过向"loginok.html"发送包含空字节注入用户名的畸形登录请求，创建恶意会话.lua文件，直接将Lua代码注入服务器。

攻击手法

恶意Lua脚本使用十六进制编码的有效载荷，并利用certutil.exe从远程服务器获取和执行恶意软件。攻击者具体利用该漏洞实现：

• 绕过认证机制
• 投放并执行恶意软件载荷
• 通过创建新用户账户建立持久访问
• 获取SYSTEM/root权限，完全控制受影响主机

影响与应对

由于Wing FTP广泛应用于企业和中小型商业环境，成功入侵可能成为横向移动或数据泄露的跳板。厂商已发布修复该漏洞的7.4.4版本，强烈建议所有用户立即更新，特别是将Wing FTP服务器暴露在互联网上的机构。

CISA要求联邦民事行政部门（FCEB）机构必须在2025年8月4日前修复该漏洞，以避免潜在攻击。