WingFTP Server 空字节或NUL字符处理不当漏洞

漏洞信息

漏洞名称: WingFTP Server 空字节或NUL字符处理不当漏洞

漏洞编号:

  • CVE: CVE-2025-47812

漏洞类型: 信息泄露

漏洞等级: 高危

漏洞描述: Wing FTP Server是一款广泛使用的FTP服务器软件,支持多种操作系统,包括Windows、Linux和Mac OS。它提供了文件传输、用户管理、安全加密等功能,常用于企业文件共享和数据传输服务。该软件因其易用性和功能丰富性,在中小型企业中尤为受欢迎。

该漏洞涉及Wing FTP Server在处理空字节或NUL字符时的不当行为,可能导致信息泄露。具体来说,攻击者可以通过构造特定的请求,利用服务器对空字节或NUL字符的不当处理,访问或泄露服务器上的敏感信息。这种漏洞的根源在于输入验证不足,未能正确过滤或处理包含空字节或NUL字符的输入。

该漏洞的影响较为严重,因为它可能允许攻击者在无需认证的情况下远程获取敏感信息,如服务器配置、用户凭证等。此外,由于该漏洞可以被自动化工具利用,因此存在被大规模攻击的风险。企业用户应立即升级到7.4.4或更高版本,以避免潜在的安全风险。

产品厂商: Wing FTP Server

产品名称: Wing FTP Server

影响版本: version < 7.4.4

来源: https://github.com/rxerium/CVE-2025-47812

类型: CVE-2025:github search

仓库文件

  • README.md
  • template.yaml

来源概述

CVE-2025-47812

How does this detection method work?

This Nuclei template detects Wing FTP Server instances vulnerable to CVE-2025-47812 by identifying versions older than 7.4.4 exposed in the web client’s HTML response.

Untitled

How do I run this script?

  1. Download Nuclei from here
  2. Copy the template to your local system
  3. Run the following command: nuclei -u https://yourHost.com -t template.yaml

References

Disclaimer

Use at your own risk, I will not be responsible for illegal activities you conduct on infrastructure you do not own or have permission to scan.

Contact

Feel free to reach out to me via Signal if you have any questions or concerns.


WingFTP Server 空字节或NUL字符处理不当漏洞
http://example.com/2025/07/16/github_1911289894/
作者
lianccc
发布于
2025年7月16日
许可协议