L'agence américaine de cybersécurité CISA a récemment inclus dans son catalogue de vulnérabilités connues et exploitées (KEV) une défaillance de sécurité qui affecte Wing FTP Serveur, un serveur commercial FTP largement utilisé dans les environnements d'affaires. L'alerte officielle, publiée le 16 mars 2026, classe le problème comme étant de gravité moyenne et documente la preuve d'une exploitation active, qui nécessite une action rapide, en particulier dans les environnements critiques. La notification de la CISA comprend des références et des recommandations pour les gestionnaires.
C'est la vulnérabilité listée comme CVE-2025-47813, une faiblesse de fuite d'informations qui vous permet de révéler la route d'installation du serveur lorsque des conditions spécifiques sont données dans la session. En termes simples, un attaquant authentifié peut forcer une erreur en manipulant la valeur du cookie de session "UID" afin que le système retourne un message d'erreur avec le chemin du serveur local complet. Ce détail apparemment inoffensif peut devenir une donnée très précieuse pour canaliser des attaques plus graves. Le registre public de la CVE est disponible dans la base de données nationale sur la vulnérabilité pour plus de données techniques: CVE-2025-47813 en NVD.
La racine du problème a été décrite par le chercheur Julien Ahrens de CERs Security à la suite d'un processus de divulgation responsable : le paramètre "/ loginok.html" ne mesure pas correctement les longueurs anormales dans le cookie UID, et lorsque la valeur dépasse la taille maximale du système d'exploitation sous-jacent, une erreur est générée qui expose les données internes. L'explosion d'essai de concept est disponible dans un dépôt public où les étapes et l'essai effectués par le chercheur sont détaillés: conseils techniques en GitHub. En outre, CERs Security a publié une analyse qui met en contexte la vulnérabilité dans le cadre des corrections publiées par le fournisseur: Analyse des URCE.
Il est important de souligner que la version vulnérable inclut toutes les éditions précédentes jusqu'au 7.4.3. Le fabricant a corrigé la défaillance de la version 7.4.4, distribuée en mai après communication avec le chercheur. La même mise à jour traitait également d'une vulnérabilité critique différente, CVE-2025-47812, qui permet l'exécution de code à distance et a un score de sévérité maximum; c'est pourquoi la mise à jour conjointe est particulièrement pertinente. La page officielle du produit est disponible pour vérifier les versions et les notes de sortie: Aile FTP Serveur - site web du fournisseur.
Depuis juillet 2025, il y a eu des signes d'activité malveillante en profitant de ces échecs. Les rapports d'incident indiquent que les attaquants ont utilisé la chaîne d'erreurs pour télécharger et exécuter des scripts malveillants de Lua, recueillir des informations sur l'environnement et déployer des parties de logiciels de gestion à distance ou de surveillance, des étapes régulières dans les opérations d'intrusion qui cherchent la persistance et le mouvement latéral. Bien que les détails spécifiques de tous les incidents ne soient pas encore entièrement publiés, la combinaison d'une fuite d'itinéraires internes et d'une vulnérabilité à l'exécution à distance dans le même produit est un schéma qui augmente le risque opérationnel.
Pour les organisations et les gestionnaires de système, la recommandation est claire : mettre à jour la version 7.4.4 (ou la dernière version fournie par le fournisseur) dès que possible. La CISA a également publié une instruction spécifique à l'intention des autorités fédérales américaines. Les États-Unis (FCEB), fixant au 30 mars 2026 la date limite pour la mise en œuvre des correctifs nécessaires, dans le cadre de sa politique prioritaire d'atténuation des vulnérabilités naturelles. Le catalogue KEV et sa logique de hiérarchisation peuvent être revus sur le site Web de la CISA : Catalogue CISA KEV.
Si une mise à jour immédiate n'est pas possible dans tous les cas, des mesures compensatoires devraient être prises: restreindre l'accès à l'interface administrative et aux ports de serveur, filtrer le trafic entrant par des listes blanches, vérifier et resserrer les politiques d'authentification, et surveiller les signes d'engagement dans les dossiers. Il est également prudent de revoir l'intégrité des dossiers et des processus en cas d'agents ou de scripts non autorisés. La combinaison d'atténuation et de patchage réduit considérablement le potentiel d'exploitation efficace.
D'un point de vue plus large, cet incident rappelle une fois de plus que les vulnérabilités qui, en principe, semblent «seuls» être la divulgation d'informations ne devraient pas être sous-estimées : connaître les itinéraires internes, les structures de fichiers et les configurations facilite l'emplacement et l'exploitation des défauts critiques subséquents. Dans ce cas particulier, les informations filtrées peuvent être utilisées comme une étape pour les attaques qui, ensemble, permettent l'exécution à distance ou la persistance prolongée de l'infrastructure de valeur.
Si vous gérez les serveurs Wing FTP, vérifiez les notes du fournisseur et les avis de sécurité, appliquez les correctifs publiés et surveillez vos systèmes. Pour une lecture et un suivi supplémentaires des rapports techniques, vous pouvez voir les sources mentionnées : l'alerte CISA ( lien), l'analyse et la diffusion des URCE ( Le président) et le rapport technique publié dans GitHub ( PoC et détails).
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...