CVE-2025-47813 の詳細
CVEの情報
説明:
loginok.html in Wing FTP Server before 7.4.4 discloses the full local installation path of the application when using a long value in the UID cookie.
CVE更新日: 2025-07-10 17:15:47.403000
CVSSバージョン: 3.1
CVSSスコア: 4.3
KEVの情報
KEV更新日: 2026-03-16
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.563660000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: medium
Automatable: False
CVE-2025-47813に関する脆弱性調査結果を以下に解説します。
1. 脆弱性の概要
CVE-2025-47813は、Wing FTP Serverの
loginok.htmlページに存在する情報漏えいの脆弱性です。この脆弱性は、過度に長いUIDクッキー値を使用すると、アプリケーションのローカルインストールパス全体が開示されるというものです。このタイプの脆弱性は、CWE-209(機密情報を含むエラーメッセージの生成)に分類されます。1.1 影響
この脆弱性の直接的な影響は、Wing FTP Serverアプリケーションの完全なローカルインストールパスが攻撃者に漏えいすることです。 この情報自体は直接システムを制御するものではありませんが、攻撃者が後続のより深刻な攻撃(例えば、リモートコード実行のCVE-2025-47812など)を計画するための偵察情報として非常に価値があります。
1.2 深刻度
MITREおよびNVDによるCVSSv3.1ベーススコアは4.3(Medium)と評価されています。 しかし、この脆弱性はCISAの「既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities Catalog: KEV)」に追加されており、実際の攻撃で悪用が確認されているため、組織はこのリスクをより高く評価し、緊急に対応する必要があります。
2. 対象となる環境
2.1 影響を受けるOSバージョン
Wing FTP Serverのバージョン7.4.4より前のすべてのバージョンがこの脆弱性の影響を受けます。 Wing FTP ServerはWindows、Linux、macOSに対応しています。
2.2 影響を受ける設定
認証されたユーザーが
loginok.htmlページに対して異常に長いUIDクッキー値を送信すると、脆弱性がトリガーされます。匿名ログインが可能な環境では、認証なしで悪用される可能性があります。3. 影響を受けた時の兆候
/loginok.htmlに送信した際に、サーバーのエラーメッセージにWing FTP Serverのフルパス(例:C:\WingFTP\)が含まれて表示される。os.execute、io.popen)、または意図しないRMMツールのインストールなどの兆候が見られる可能性があります。4. 推奨対策
4.1 本対策
Wing FTP Serverをバージョン7.4.4以降にアップグレードしてください。このバージョンで脆弱性が修正されています。 米国の連邦機関は、2026年3月30日までにこの脆弱性への対策を実施するようCISAから求められています。
4.2 暫定回避策(緩和策)
すぐにアップデートができない場合は、以下の暫定的な緩和策を検討してください。 * Web管理画面(デフォルトポート5466)へのアクセスを信頼されたIPアドレスのみに制限する(ファイアウォールやACLによる外部からの直接アクセス遮断)。 * WAF(Web Application Firewall)を使用して、異常に長いクッキーヘッダー(例:
loginok.htmlへのリクエストでUIDクッキーが260文字を超える場合)を検知し、ブロックする。 * 匿名(anonymous)アクセスを無効化する(これにより、CVE-2025-47812などの関連するRCE攻撃の前提条件を減らすことができます)。参照したサイト