一、 漏洞 CVE-2025-47812 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Wing FTP Server在7.4.4之前的版本中,用户和管理员的Web接口未能正确处理`\0`字节,导致用户会话文件中注入任意Lua代码。这可用于执行任意系统命令,这些命令以FTP服务的权限运行(默认为root或SYSTEM)。这是一个远程代码执行漏洞,可导致服务器完全被攻陷。

## 影响版本
Wing FTP Server 7.4.4之前的版本

## 漏洞细节
- 用户和管理员Web接口未能正确处理`\0`字节。
- 可以将任意Lua代码注入用户会话文件中。
- 可以利用注入的Lua代码执行任意系统命令。

## 影响
- 可被利用执行任意系统命令,权限为FTP服务权限,默认为root或SYSTEM。
- 匿名FTP账户也可以利用此漏洞进行攻击。
- 导致服务器被完全攻陷。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Wing FTP Server before 7.4.4. the user and admin web interfaces mishandle '\0' bytes, ultimately allowing injection of arbitrary Lua code into user session files. This can be used to execute arbitrary system commands with the privileges of the FTP service (root or SYSTEM by default). This is thus a remote code execution vulnerability that guarantees a total server compromise. This is also exploitable via anonymous FTP accounts.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
空字节或NULL字符转义处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Wing FTP Server 7.4.3及 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wing FTP Server是Wing FTP Server开源的一套跨平台的FTP服务器软件。 Wing FTP Server 7.4.3版本及之前版本存在安全漏洞。攻击者利用该漏洞可以远程执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-47812 的公开POC
# POC 描述 源链接 神龙链接
1 Wing FTP Server versions prior to 7.4.4 are vulnerable to an unauthenticated remote code execution (RCE) flaw (CVE-2025-47812). The vulnerability arises from improper NULL byte handling in the 'username' parameter during login, which allows Lua code injection into session files. These injected session files are executed when accessing authenticated endpoints such as /dir.html, resulting in arbitrary command execution with elevated privileges. This attack is possible only when anonymous login is enabled on the server. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-47812.yaml POC详情
三、漏洞 CVE-2025-47812 的情报信息