La agencia estadounidense de ciberseguridad CISA incluyó recientemente en su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) una falla de seguridad que afecta a Wing FTP Server, un servidor FTP comercial muy utilizado en entornos empresariales. La alerta oficial, publicada el 16 de marzo de 2026, clasifica el problema como de gravedad media y documenta evidencias de explotación activa, lo que obliga a tomar medidas rápidas, sobre todo en entornos críticos. La notificación de CISA incluye referencias y recomendaciones para administradores.
Se trata de la vulnerabilidad catalogada como CVE-2025-47813, una debilidad de filtrado de información que permite revelar la ruta de instalación del servidor cuando se dan condiciones específicas en la sesión. En términos sencillos, un atacante autenticado puede forzar un error manipulando el valor de la cookie de sesión "UID" de modo que el sistema devuelva un mensaje de error con la ruta completa del servidor local. Ese detalle aparentemente inocuo puede convertirse en un dato valiosísimo para encadenar ataques más graves. Puede consultarse el registro público del CVE en la Base de Datos Nacional de Vulnerabilidades para más datos técnicos: CVE-2025-47813 en NVD.
La raíz del problema la describió el investigador Julien Ahrens de RCE Security tras un proceso de divulgación responsable: el endpoint "/loginok.html" no valida correctamente longitudes anómalas en la cookie UID, y cuando el valor excede el tamaño máximo de ruta del sistema operativo subyacente se genera un error que expone datos internos. El exploit de prueba de concepto está disponible en un repositorio público donde se detallan los pasos y la prueba realizada por el investigador: advisorio técnico en GitHub. Asimismo, RCE Security publicó un análisis que contextualiza la vulnerabilidad dentro del paquete de correcciones liberadas por el proveedor: análisis de RCE Security.
Es importante subrayar que la versión vulnerable incluye todas las ediciones anteriores hasta la 7.4.3. El fabricante corrigió la falla en la versión 7.4.4, distribuida en mayo tras la comunicación con el investigador. Esa misma actualización también solventó una vulnerabilidad crítica distinta, CVE-2025-47812, que permite ejecución remota de código y tiene una puntuación de severidad máxima; por ese motivo la actualización conjunta es especialmente relevante. Puede consultarse la página oficial del producto para comprobar versiones y notas de lanzamiento: Wing FTP Server — web del proveedor.
Desde julio de 2025 se registraron indicios de actividad maliciosa aprovechando estas fallas. Informes de respuesta a incidentes señalan que los atacantes han utilizado la cadena de errores para descargar y ejecutar scripts Lua maliciosos, recopilar información del entorno y desplegar piezas de software de gestión remota o monitoreo, pasos habituales en operaciones de intrusión que buscan persistencia y movimiento lateral. Aunque los detalles concretos de todos los incidentes aún no están totalmente publicados, la combinación de una fuga de rutas internas y una vulnerabilidad de ejecución remota en el mismo producto es un patrón que aumenta el riesgo operativo.
Para organizaciones y administradores de sistemas la recomendación es clara: actualizar a la versión 7.4.4 (o a la versión más reciente proporcionada por el proveedor) cuanto antes. CISA ha emitido además una instrucción específica dirigida a las agencias del Ejecutivo Federal de EE. UU. (FCEB), fijando el 30 de marzo de 2026 como fecha límite para aplicar los parches necesarios, dentro de su política de mitigación prioritaria frente a vulnerabilidades explotadas en la naturaleza. Puede revisarse el catálogo KEV y su lógica de priorización en la web de CISA: Catálogo KEV de CISA.
Si una actualización inmediata no es posible en todos los casos, conviene tomar medidas compensatorias: restringir el acceso a la interfaz administrativa y a los puertos del servidor, filtrar el tráfico entrante mediante listas blancas, auditar y endurecer las políticas de autenticación, y vigilar signos de compromiso en los registros. También es prudente revisar integridad de ficheros y procesos por si ha habido despliegue de agentes o scripts no autorizados. La combinación de mitigaciones y parcheo reduce significativamente las posibilidades de explotación efectiva.
Desde una perspectiva más amplia, este incidente vuelve a recordar que las vulnerabilidades que en principio parecen “solo” de divulgación de información no deben subestimarse: conocer rutas internas, estructuras de ficheros y configuraciones facilita la localización y explotación de defectos críticos posteriores. En este caso concreto, la información filtrada puede servir de peldaño para ataques que, juntos, permiten ejecución remota o persistencia prolongada en infraestructuras de valor.
Si gestionas servidores Wing FTP revisa las notas del proveedor y los avisos de seguridad, aplica los parches publicados y monitoriza tus sistemas. Para lectura adicional y seguimiento de reportes técnicos puedes consultar las fuentes citadas: la alerta de CISA (enlace), el análisis y divulgación de RCE Security (artículo) y el informe técnico publicado en GitHub (PoC y detalles).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...