L'Agence américaine pour la cybersécurité et l'infrastructure (CISA) a soulevé l'alerte sur une vulnérabilité dans l'escadre FTP Serveur qui est déjà utilisé dans les attaques réelles et peut servir de lien dans les chaînes menant à l'exécution de code distant. C'est un échec qui, bien qu'il ne se permette pas d'exécuter le code, rend plus facile pour un attaquant avec peu de privilèges d'obtenir des informations sensibles du serveur - comme la route d'installation complète - qui peut être la clé pour exploiter d'autres défaillances.
La défaillance a été enregistrée comme CVE-2025-47813 et, selon la description technique publique, l'application génère des messages d'erreur qui incluent des données sensibles lors de l'utilisation d'une très longue valeur dans le cookie UID. Cette fuite d'information peut aider les attaquants à comprendre la structure du système et à construire des exploits plus puissants qui enchaînent d'autres vulnérabilités, y compris une critique qui permet l'exécution de code à distance (CVE-2025-47812).
L'aile FTP Les développeurs de serveurs ont résolu ces vulnérabilités dans la version 7.4.4 publiée en mai 2025; l'avis de correction inclut des correctifs pour la divulgation d'informations et la vulnérabilité RSE et un autre qui permet de voler des mots de passe (CVE-2025-27889). La note du fabricant avec l'historique de la version et le patch est disponible sur votre site officiel: Aile FTP Serveur - Historique du serveur.
La situation s'est compliquée lorsque le chercheur Julien Ahrens a publié le code de test conceptuel pour CVE-2025-47813 en juin, ce qui a accru le risque en laissant des outils pour reproduire l'échec. Le dépôt avec le test de concept peut être trouvé ici: PoC à GitHub. En outre, la vulnérabilité des URCE (CVE-2025-47812) a été signalée comme étant exploitée dans des environnements réels seulement un jour après la diffusion des détails techniques, ce qui démontre la rapidité avec laquelle les attaquants s'adaptent et utilisent ces informations dans la pratique. Les fiches techniques de la base de données sur la vulnérabilité nationale offrent plus de contexte : CVE-2025-47813, CVE-2025-47812 et CVE-2025-27889.
Le 16 mars 2026, la CISA a ajouté CVE-2025-47813 à sa catalogue des vulnérabilités activement exploitées et a ordonné aux organismes fédéraux civils de remédier à l'échec dans les deux semaines, comme l'exige la BOD-01 de novembre 2021. Bien que le terme obligation ne concerne que les organismes fédéraux américains, la CISA elle-même a exhorté les organisations du secteur privé et les gestionnaires de système en général à mettre à jour ou à mettre en oeuvre immédiatement les mesures d'atténuation. Le registre de vulnérabilité est disponible dans le catalogue de la CISA ici: CVE-2025-47813 dans le catalogue CISA.
Aile FTP Server n'est pas une solution mineure: les développeurs indiquent que leur logiciel est utilisé par plus de 10 000 clients dans le monde entier, y compris les grands acteurs des secteurs public et privé. Cette base d'installations fait de toute vulnérabilité exploitable une cible attrayante pour les agresseurs qui cherchent à accéder aux réseaux commerciaux ou gouvernementaux. Les informations officielles du fabricant qui mentionne les clients et la portée du produit sont disponibles sur votre site: Aile FTP Serveur.
Qu'est-ce que cela signifie pour les administrateurs et les agents de sécurité? Premièrement, que la fenêtre d'exposition est réduite lorsqu'il y a un code de démonstration public et une exploitation dans des environnements réels; par conséquent, le temps de réaction est limité. Si votre organisation utilise Wing FTP Server, la chose la plus urgente est de vérifier la version en service et de mettre à jour l'édition corrigée (v7.4.4 ou ultérieure). Si, pour une raison quelconque, vous ne pouvez pas appliquer le correctif immédiatement, vous devez évaluer l'atténuation recommandée par l'utilisateur, resserrer l'accès au service (par exemple, restreindre les connexions aux adresses IP de confiance et limiter les comptes avec des privilèges), et envisager la déconnexion temporaire du service jusqu'à ce que vous soyez sûr.
L'exposition par des erreurs qui révèlent des itinéraires locaux est moins frappante qu'une URCE directe, mais pas moins dangereuse : connaître la structure du système, les itinéraires d'installation et les fichiers sensibles est généralement la première étape pour les attaquants à assembler des exploits plus complexes ou voler des identifiants. C'est pourquoi la CISA insiste pour appliquer les corrections et, s'il n'y a pas d'atténuation applicable, envisager de suspendre l'utilisation du produit.
En plus de la mise à jour, il est recommandé d'examiner les dossiers d'accès et d'erreur en cherchant des modèles anormaux qui correspondent aux tentatives d'exploitation, aux comptes d'audit et aux références associées au service - mots de passe tournants s'il y a des soupçons d'engagement - et de segmenter le réseau pour éviter qu'une intrusion dans le serveur FTP ne serve de trampoline à d'autres actifs critiques.
Les vulnérabilités dans les composants de transfert de fichiers sont un rappel que les infrastructures apparemment discrètes peuvent ouvrir des vecteurs d'attaque importants. La combinaison de l'exposition publique à l'explosion, la rapidité d'exploitation dans le monde réel et une large base d'installations font de cet incident une priorité en matière de sécurité pour les organisations qui utilisent Wing FTP Server ou qui dépendent de services similaires.
Pour élargir l'information et vérifier la situation technique, voir les sources officielles : l'entrée de la vulnérabilité dans le NVD ( CVE-2025-47813), l'avis et le catalogue de CISA ( CISA - catalogue de vulnérabilité), l'historique de Wing FTP Server ( Aile FTP Serveur - Historique du serveur) et le dépôt avec le test de concept publié par le chercheur ( PoC à GitHub).
Si vous avez besoin d'aide pour évaluer votre exposition ou prioriser les mesures d'atténuation, il est conseillé de contacter votre équipe de sécurité ou des fournisseurs spécialisés; dans les cas d'exploitation active, l'intervention rapide et coordonnée peut faire la différence entre une tentative d'intrusion ratée et un écart avec de graves conséquences.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...