Résumé
Le 16 mars 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Wing FTP Server, un logiciel pour transférer des fichiers via FTP.
Référencée sous CVE-2025-47813, cette vulnérabilité est une divulgation d’informations sensibles (Information Disclosure) . La page loginok.html divulgue le chemin d’installation complet du serveur lorsqu’un cookie UID surdimensionné est fourni, permettant à un utilisateur authentifié de récupérer cette info critique.
Solutions
Il est recommandé d’appliquer les mises à jour du vendeur (version 7.4.4 ou supérieure), de suivre les instructions de mitigation de la CISA pour les services cloud (BOD 22-01), ou d’arrêter d’utiliser le produit si aucune mitigation n’est disponible.
Details techniques
Score CVSS : 4.3
EPSS : 0.62
Systèmes affectés
• Wing FTP Server versions antérieures à 7.4.4
Documentation
Référence :
Nist Details CVE (https://nvd.nist.gov/vuln/detail/CVE-2025-47813)
CVE Details (https://www.cvedetails.com/cve/CVE-2025-47813/)
Reference CVE (https://www.cve.org/CVERecord?id=CVE-2025-47813)
CWE (https://www.cvedetails.com/cwe-details/CWE-209/)