CVE-2025-47813

Wing FTP Server Wing FTP Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-03-16

Официальное описание

Wing FTP Server contains a generation of error message containing sensitive information vulnerability when using a long value in the UID cookie.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-47813 относится к классу Information Exposure Through Error Message (Раскрытие чувствительной информации через сообщения об ошибках). В Wing FTP Server механизм обработки сессионных данных некорректно обрабатывает аномально длинные значения в HTTP-cookie UID.

При отправке специально сформированного запроса с чрезмерно длинным идентификатором пользователя, сервер генерирует подробное сообщение об ошибке. Это сообщение может содержать: * Пути к внутренним директориям сервера. * Сведения о версии используемых библиотек. * Фрагменты дампов памяти или стека вызовов (stack trace). * Конфиденциальные данные других сессий, находящихся в буфере обработки.

Злоумышленник может использовать эту информацию для подготовки более сложных атак, таких как обход путей (Path Traversal) или эксплуатация переполнения буфера.

Как исправить

Основным способом устранения уязвимости является обновление Wing FTP Server до версии, в которой реализована строгая валидация длины и формата cookie-файлов.

  1. Скачайте актуальную версию установщика с официального сайта Wing FTP Server.
  2. Создайте резервную копию конфигурации (папка Data в директории установки).
  3. Запустите процесс обновления.

Для систем на базе Linux:

wget https://www.wftpserver.com/download/wftpserver-linux-64bit.tar.gz
tar xzvf wftpserver-linux-64bit.tar.gz
cd wftpserver
./setup.sh

Для систем на базе Windows:

Start-Process "wftpserver.exe" -ArgumentList "/S" -Wait

Временные меры

Если немедленное обновление невозможно, необходимо ограничить возможность передачи некорректных заголовков на уровне сетевого периметра или веб-сервера.

  1. Настройте Web Application Firewall (WAF) на блокировку HTTP-запросов, в которых длина значения cookie UID превышает разумный предел (например, более 128 символов).

  2. Если Wing FTP Server работает за Reverse Proxy (например, Nginx), добавьте проверку длины cookie в конфигурацию:

if ($http_cookie ~* "UID=[a-zA-Z0-9]{129,}") {
    return 403;
}

  1. Ограничьте доступ к административной панели управления сервером (Web Administration), разрешив подключения только с доверенных IP-адресов.

  2. Отключите подробный вывод ошибок в настройках сервера (Verbose Logging/Display Errors), если это поддерживается текущей конфигурацией, чтобы минимизировать объем утекающей информации.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей