FTPサーバ「WingFTP」に深刻な脆弱性 - アップデートで修正

Wing FTP Softwareが提供しているFTPサーバソフトウェア「Wing FTP Server」に深刻な脆弱性が明らかとなった。5月にリリースされたアップデートで修正されている。

「同7.4.3」および以前のバージョンにおいて、アノニマスユーザーにアクセスを許可している場合、認証を必要とすることなく任意のコードが実行可能となるコードインジェクションの脆弱性「CVE-2025-47812」が明らかとなった。

ユーザー名の処理に不備があり、セッションファイルへ任意のコードを挿入することで、ログイン後に遷移するページでコードの実行が可能となる。共通脆弱性評価システム「CVSSv4.0」のベーススコアは、最高値である「10.0」と評価されている。

現地時間2025年5月10日にセキュリティ研究者が発見、同月12日にWing FTP Softwareへ報告した。

Wing FTP Softwareでは、現地時間2025年5月14日に脆弱性を修正した「同7.4.4」をリリース。最新版へアップデートするよう呼びかけている。

発見した研究者は、同ソフトウェアをLinux環境ではroot権限、Windows環境ではSYSTEM権限で稼働させるケースが多いと指摘。システムを乗っ取られるおそれがあるとして注意を呼びかけている。

（Security NEXT - 2025/07/08 ） ツイート

PR

関連記事

成績票原本を誤廃棄、システム未登録でデータ消失 - 岡山大
「MS Edge」にセキュリティアップデート - 脆弱性3件を解消
米当局、ファイル転送製品「FileZen」の脆弱性悪用に注意喚起
「Firefox 148」で50件超の脆弱性を修正 - AI制御機能の追加も
「SonicOS」に複数のDoS脆弱性が判明 - 修正版を公開
小学校で児童の個人情報含む指導計画や記録簿を紛失 - 柏市
「VMware Aria Operations」に複数脆弱性 - アップデートで修正
サービス更新申込書が外部から閲覧可能に、設定不備で - セゾンテク
付属小学校説明会の申込者向けメールで誤送信 - 山口大
ランサム攻撃で業務用サーバから情報流出の可能性 - 美濃工業