Faille Wing FTP : la CISA tire la sonnette d'alarme

La CISA vient d'ajouter une faille Wing FTP Server a son catalogue des vulnerabilites activement exploitees. On parle de la CVE-2025-47813, une vulnerabilite de divulgation d'information qui, a premiere vue, semble presque banale avec son score CVSS de 4.3. Sauf que dans la pratique, elle sert de marchepied pour quelque chose de bien plus grave.

Un cookie trop long et le serveur crache ses secrets

Le probleme se situe au niveau du endpoint /loginok.html de Wing FTP Server. Ce endpoint ne valide pas correctement la longueur du cookie de session UID. Quand un attaquant envoie une valeur deliberement surdimensionnee — plus longue que la taille maximale de chemin du systeme d'exploitation — le serveur genere un message d'erreur qui contient le chemin complet d'installation de l'application sur le disque.

Dit comme ca, ca a l'air anodin. Mais connaitre le chemin exact d'installation d'un serveur FTP, c'est une information en or pour un attaquant qui cherche a exploiter d'autres failles sur la meme machine.

La decouverte revient a Julien Ahrens, chercheur chez RCE Security, qui a publie un proof-of-concept sur GitHub. Il a ete clair dans son advisory : cette fuite de chemin facilite directement l'exploitation de la CVE-2025-47812.

La CVE-2025-47812, la vraie bombe

Et c'est la que ca devient serieux. La CVE-2025-47812, corrigee dans la meme version 7.4.4, est une faille d'execution de code a distance avec un score CVSS de 10.0 — le maximum. Depuis juillet 2025, des attaquants l'exploitent activement.

Selon les analyses de Huntress, les attaquants s'en servent pour telecharger et executer des fichiers Lua malveillants sur les serveurs compromis. Une fois le pied dans la porte, ils lancent des operations de reconnaissance puis installent des logiciels de surveillance et de gestion a distance (RMM). Le genre d'outils qui permettent de garder un acces persistant sans se faire reperer.

La combinaison des deux CVE est redoutable. La 47813 donne le chemin serveur. La 47812 utilise ce chemin pour executer du code arbitraire. Deux failles de severite tres differente sur le papier, mais qui ensemble forment une chaine d'attaque complete.

Qui est concerne

Toutes les versions de Wing FTP Server jusqu'a la 7.4.3 incluse sont touchees. Le correctif est disponible depuis mai 2025 dans la version 7.4.4. Ca fait dix mois que le patch existe.

Et pourtant, la CISA estime que suffisamment de serveurs restent vulnerables pour justifier l'ajout au catalogue KEV ce lundi 17 mars. Les agences federales americaines (FCEB) ont desormais jusqu'au 30 mars 2026 pour appliquer le correctif.

Wing FTP Server est un logiciel de transfert de fichiers multi-protocole (FTP, FTPS, SFTP, HTTP, HTTPS) utilise par des entreprises de toutes tailles. Le probleme, c'est que les serveurs FTP sont souvent des machines qu'on installe une fois et qu'on oublie. Pas de mise a jour automatique, pas de monitoring actif. Le candidat ideal pour rester vulnerable pendant des mois.

Ce que ca revele sur le paysage des menaces

Ce cas illustre un schema qu'on voit de plus en plus souvent. Les attaquants ne cherchent pas forcement la grosse faille RCE directement exploitable. Ils chainent des vulnerabilites de faible et moyenne severite pour construire un chemin d'attaque complet.

Un score CVSS de 4.3, ca ne declenche pas de panique dans la plupart des equipes securite. Ca se retrouve en bas de la pile des priorites. Et c'est exactement ce que les attaquants exploitent : le fait que les equipes priorisent strictement par score CVSS au lieu de regarder le contexte.

Dans ce cas precis, la faille "mineure" est la cle qui rend la faille critique exploitable. Sans le chemin serveur, l'exploitation de la CVE-2025-47812 est considerablement plus compliquee.

Ce qu'il faut faire maintenant

Si vous gerez un serveur Wing FTP, verifiez votre version. Si vous etes en 7.4.3 ou inferieur, la mise a jour vers 7.4.4 (ou plus recent) corrige les deux CVE. Dix mois de retard sur un patch critique, ca fait long.

Au-dela de Wing FTP, ce cas devrait servir de rappel pour tous les serveurs FTP exposes sur Internet. Verifiez que vos services de transfert de fichiers sont a jour. Verifiez qu'ils sont derriere un pare-feu correctement configure. Et surtout, ne laissez pas un serveur FTP tourner dans un coin sans surveillance parce qu'il "fonctionne".

La CISA ne rajoute pas des CVE a son catalogue KEV par precaution. Si c'est dans le KEV, c'est que des attaques reelles ont ete observees. Ce n'est pas de la theorie.

---