A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) tem elevado o alerta sobre uma vulnerabilidade em Wing FTP Server que já está sendo aproveitada em ataques reais e que pode servir de elo em cadeias que desembocam em execução remota de código. Trata-se de uma falha que, apesar de não permitir por si só executar código, facilita a um atacante com poucos privilégios obter informações sensíveis do servidor, como a rota completa de instalação, o que pode ser a chave para explorar outras falhas.
O erro foi registrado como CVE-2025-47813 e, segundo a descrição técnica pública, a aplicação gera mensagens de erro que incluem dados sensíveis quando usado um valor muito longo no cookie UID. Essa filtragem de informações pode ajudar os atacantes a compreender a estrutura do sistema e construir exploits mais potentes que encadenem outras vulnerabilidades, incluindo uma crítica que permite execução remota de código (CVE-2025-47812).
Os desenvolvedores do Wing FTP Server resolveram estas vulnerabilidades na versão 7.4.4 publicada em maio de 2025; o aviso de correção inclui adesivos tanto para a divulgação de informações quanto para a vulnerabilidade RCE e outra que permite roubar senhas (CVE-2025-27889). A nota do fabricante com o histórico de versões e o adesivo está disponível no seu site oficial: Wing FTP Server – Server History.
A situação foi aplicada quando o pesquisador Julien Ahrens publicou código de teste de conceito para CVE-2025-47813 em junho, o que aumentou o risco ao deixar em mãos de qualquer ferramenta para reproduzir a falha. O repositório com o teste de conceito pode ser consultado aqui: PoC no GitHub. Além disso, a vulnerabilidade da RCE (CVE-2025-47812) foi relatada como explorada em ambientes reais apenas um dia depois de se espalharem detalhes técnicos, o que demonstra a rapidez com que os atacantes adaptam e utilizam esta informação na prática. As fichas técnicas na base de dados nacional de vulnerabilidades oferecem mais contexto: CVE-2025-47813, CVE-2025-47812 e CVE-2025-27889.
Em 16 de março de 2026 CISA acrescentou CVE-2025-47813 a seu catálogo de vulnerabilidades exploradas ativamente e ordenou às agências federais civis remediar a falha no prazo de duas semanas, conforme exigido pela Directiva Operativa Vinculante BOD 22-01 de novembro de 2021. Apesar de a obrigação de prazo afectar apenas as agências federais dos EUA, a própria CISA apelou a organizações do sector privado e a gestores de sistemas em geral para actualizar ou aplicar imediatamente atenuações. O registo da vulnerabilidade pode ser consultado no catálogo de CISA aqui: CVE-2025-47813 no catálogo de CISA.
Wing FTP Server não é uma solução menor: os desenvolvedores indicam que seu software é usado por mais de 10.000 clientes em todo o mundo, incluindo grandes atores do setor público e privado. Essa base de instalações converte qualquer vulnerabilidade explorável em um objetivo atrativo para atacantes que buscam acessos a redes empresariais ou governamentais. A informação oficial do fabricante que menciona clientes e alcance do produto está disponível no seu site: Wing FTP Server.
O que significa isto para administradores e responsáveis pela segurança? Em primeiro lugar, a janela de exposição é reduzida quando existe código de demonstração público e exploração em ambientes reais; portanto, o tempo para reagir é limitado. Se a sua organização usar Wing FTP Server, o mais urgente é verificar a versão em uso e atualizar para a edição corrigida (v7.4.4 ou posterior). Se por alguma razão não puder aplicar o adesivo imediatamente, é necessário avaliar a implementação de atenuações recomendadas pelo fornecedor, endurecer o acesso ao serviço (por exemplo, restringindo ligações aos endereços IP de confiança e limitando contas com privilégios), e considerar a desconexão temporária do serviço até que esteja seguro.
A exposição através de erros que revelam rotas locais é menos chamativa do que uma RCE direta, mas não menos perigosa: conhecer a estrutura do sistema, rotas de instalação e arquivos sensíveis é o primeiro passo para que os atacantes ensamblen exploits mais complexos ou roben credenciais. Por isso, a CISA insiste em aplicar as correcções e, se não existirem atenuações aplicáveis, levantar-se-á suspender a utilização do produto.
Além de atualizar, é recomendável revisar registros de acesso e de erros buscando padrões anormais que correspondam a tentativas de exploração, auditar contas e credenciais associadas ao serviço - fazendo senhas se houver suspeita de compromisso - e segmentar a rede para evitar que uma possível intrusão no servidor FTP sirva como trampolim para outros ativos críticos.
As vulnerabilidades em componentes de transferência de arquivos são um lembrete de que infraestruturas aparentemente discretas podem abrir vetores de ataque significativos. A combinação de exposição pública do exploit, a rápida exploração no mundo real e uma base ampla de instalações torna este incidente uma prioridade de segurança Para as organizações que utilizam Wing FTP Server ou que dependem de serviços semelhantes.
Para ampliar informações e verificar a situação técnica, consulte as fontes oficiais: a entrada da vulnerabilidade na NVD ( CVE-2025-47813), o aviso e catálogo da CISA ( CISA – catálogo de vulnerabilidades), o histórico de versões do Wing FTP Server ( Wing FTP Server – Server History) e o repositório com o teste de conceito publicado pelo pesquisador ( PoC no GitHub).
Se precisar de ajuda para avaliar a sua exposição ou priorizar ações de mitigação, recomenda-se contactar a sua equipe de segurança ou fornecedores especializados; em incidentes que envolvam exploração ativa, a resposta rápida e coordenada pode marcar a diferença entre uma tentativa de intrusão falhada e uma brecha com consequências graves.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...