A agência estadunidense de cibersegurança CISA incluiu recentemente em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) uma falha de segurança que afeta Wing FTP Server, um servidor de FTP comercial muito utilizado em ambientes empresariais. O alerta oficial, publicado em 16 de março de 2026, classifica o problema como de gravidade média e documenta evidências de exploração ativa, o que obriga a tomar medidas rápidas, sobretudo em ambientes críticos. A notificação do CISA Inclui referências e recomendações para administradores.
Trata-se da vulnerabilidade catalogada como CVE-2025-47813, uma fraqueza de filtragem de informações que permite revelar a rota de instalação do servidor quando se dão condições específicas na sessão. Em termos simples, um atacante autenticado pode forçar um erro manipulando o valor do cookie de sessão "UID" de modo que o sistema devolva uma mensagem de erro com a rota completa do servidor local. Esse detalhe aparentemente inocuo pode se tornar um dado valiosíssimo para encadear ataques mais graves. O registo público do CVE pode ser consultado na Base de Dados Nacional de Vulnerabilidades para mais dados técnicos: CVE-2025-47813 em NVD.
A raiz do problema foi descrita pelo investigador Julien Ahrens da RCE Security após um processo de divulgação responsável: o endpoint "/loginok.html" não valida corretamente comprimentos anormais no cookie UID, e quando o valor excede o tamanho máximo de rota do sistema operacional subjacente é gerado um erro que expõe dados internos. O exploit de teste de conceito está disponível em um repositório público onde se detalham os passos e o teste realizado pelo pesquisador: advisorio técnico no GitHub. Além disso, a RCE Security publicou uma análise que contextualiza a vulnerabilidade dentro do pacote de correções liberadas pelo fornecedor: Análise da RCE Security.
É importante salientar que a versão vulnerável inclui todas as edições anteriores até 7.4.3. O fabricante corrigiu a falha na versão 7.4.4, distribuída em maio após a comunicação com o pesquisador. Essa mesma atualização também solventou vulnerabilidade crítica diferente, CVE-2025-47812, que permite execução remota de código e tem pontuação de severidade máxima; por esse motivo a atualização conjunta é especialmente relevante. A página oficial do produto pode ser consultada para verificar versões e notas de lançamento: Wing FTP Server — Web do fornecedor.
Desde julho de 2025 foram registrados indícios de atividade maliciosa aproveitando essas falhas. Relatórios de resposta a incidentes apontam que os atacantes usaram a cadeia de erros para baixar e executar programas Lua maliciosos, coletar informações do ambiente e implantar peças de software de gestão remota ou monitoramento, passos habituais em operações de intrusão que buscam persistência e movimento lateral. Embora os detalhes concretos de todos os incidentes ainda não estejam totalmente publicados, a combinação de uma fuga de rotas internas e uma vulnerabilidade de execução remota no mesmo produto é um padrão que aumenta o risco operacional.
Para organizações e administradores de sistemas, a recomendação é clara: atualizar à versão 7.4.4 (ou à versão mais recente fornecida pelo fornecedor) quanto mais cedo. A CISA emitiu igualmente uma instrução específica dirigida às agências do Executivo Federal dos EUA. Os EUA (FCEB), fixando em 30 de Março de 2026 como data-limite para aplicar os adesivos necessários, dentro da sua política de mitigação prioritária face a vulnerabilidades exploradas na natureza. Você pode revisar o catálogo KEV e sua lógica de priorização na web da CISA: Catálogo KEV de CISA.
Se uma actualização imediata não for possível em todos os casos, é conveniente tomar medidas compensatórias: restringir o acesso à interface administrativa e aos portos do servidor, filtrar o tráfego através de listas brancas, auditar e endurecer as políticas de autenticação, e monitorizar sinais de compromisso nos registos. Também é prudente rever a integridade de arquivos e processos por se houve implantação de agentes ou scripts não autorizados. A combinação de atenuações e adesivos reduz significativamente as possibilidades de exploração efectiva.
De uma perspectiva mais ampla, este incidente volta a lembrar que as vulnerabilidades que inicialmente parecem “apenas” de divulgação de informação não devem ser subestimadas: conhecer rotas internas, estruturas de arquivos e configurações facilita a localização e exploração de defeitos críticos posteriores. Neste caso específico, as informações filtradas podem servir de peldanho para ataques que, juntos, permitem execução remota ou persistência prolongada em infra-estruturas de valor.
Se você gerencia servidores Wing FTP, verifique as notas do fornecedor e os avisos de segurança, aplique os adesivos publicados e monitoriza seus sistemas. Para leitura adicional e seguimento de relatórios técnicos, você pode consultar as fontes citadas: o alerta de CISA ( Ligação), análise e divulgação da RCE Security ( Artigo) e o relatório técnico publicado no GitHub ( PoC e detalhes).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...