一、 漏洞 CVE-2025-27889 基础信息
漏洞信息
# N/A
## 漏洞概述
Wing FTP Server 7.4.4之前的版本未能正确验证和清理`downloadpass.html`端点中的`url`参数,这会导致任意链接注入。如果用户点击精心构造的链接,会导致明文密码泄露给攻击者。
## 影响版本
- Wing FTP Server 7.4.4之前的版本
## 漏洞细节
攻击者可以通过构造特定的链接,利用Wing FTP Server中`downloadpass.html`端点的`url`参数的验证和清理不足,注入任意链接。这种情况下,如果用户点击了这个链接,其明文密码会被泄露给攻击者。
## 影响
该漏洞可能导致用户的明文密码泄露给攻击者,从而被利用以进一步攻击用户账户和其他敏感信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Wing FTP Server before 7.4.4 does not properly validate and sanitize the url parameter of the downloadpass.html endpoint, allowing injection of an arbitrary link. If a user clicks a crafted link, this discloses a cleartext password to the attacker.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
系统设置或配置在外部可控制
来源:美国国家漏洞数据库 NVD
漏洞标题
多款产品安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wing FTP Server是Wing FTP Server开源的一套跨平台的FTP服务器软件。 Wing FTP Server 7.4.4之前版本存在安全漏洞,该漏洞源于未正确验证和清理downloadpass.html端点的url参数,可能导致明文密码泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-27889 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
