Résumé
Le 14 juillet 2025, la CISA (l’Agence de Cybersécurité et de Sécurité des Infrastructures) a émis une alerte concernant une faille de sécurité critique concernant le logiciel Wing FTP Server, un serveur FTP populaire utilisé pour le transfert sécurisé de fichiers.
Référencée sous CVE-2025-47812, cette vulnérabilité permet à un attaquant distant non authentifié d’injecter du code Lua. Ce code est ensuite exécuté par le serveur, ce qui permet de lancer des commandes système avec les droits d’administrateur (root ou SYSTEM), entraînant une compromission totale du serveur. La vulnérabilité est aussi exploitable avec un compte FTP anonyme.
Solutions
Il est recommandé de mettre à jour immédiatement vers la version 7.4.4 ou supérieure depuis le portail de téléchargement officiel de Wing FTP Server .
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 10.0
Risques :
Exécution de code arbitraire
Systèmes affectés
- Wing FTP Server
• Versions de 0 à 7.4.3 (toutes plateformes)
Documentation
- Référence :
https://www.huntress.com/blog/wing-ftp-server-remote-code-execution-cve-2025-47812-exploited-in-wild
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-47812
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-47812/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-47812