رفعت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (سيسا) مستوى تحذيرها بشأن ثغرة أمنية في برنامج خادم وينج FTP، حيث أضافتها إلى كتالوج الثغرات المعروفة المستغلة (KEV). تُعرف هذه الثغرة برمز CVE-2025-47813 وتصنيف CVSS 4.3، وهي ثغرة متوسطة الخطورة لكشف المعلومات يمكنها تسريب مسار التثبيت الكامل للتطبيق تحت ظروف محددة. وفقًا لسيسا، توجد الثغرة لأن الخادم يولد رسائل خطأ تحتوي على معلومات حساسة عند تقديم قيمة طويلة بشكل مفرط في ملف تعريف الارتباط للجلسة `UID`. تؤثر هذه الثغرة على جميع إصدارات خادم وينج FTP حتى الإصدار 7.4.3 شاملاً.
تم الإبلاغ عن الثغرة بشكل مسؤول من قبل الباحث جوليان أهرينز من RCE Security، وقدم المطور التصحيح في الإصدار 7.4.4 الذي صدر في مايو 2025. ومن الجدير بالذكر أن هذا التحديث نفسه عالج أيضًا ثغرة منفصلة حرجة لتنفيذ التعليمات البرمجية عن بُعد، CVE-2025-47812 (بتصنيف CVSS 10.0). يكشف التحليل الفني أن نقطة النهاية `/loginok.html` تفشل في التحقق بشكل صحيح من طول قيمة ملف تعريف الارتباط `UID`. إذا قدم المهاجم قيمة تتجاوز الحد الأقصى لطول المسار في نظام التشغيل، فإنها تؤدي إلى خطأ يكشف عن غير قصد مسار نظام الملفات المحلي الكامل حيث تم تثبيت تطبيق وينج FTP.
على الرغم من أن كشف المسار نفسه مصنف على أنه متوسط الخطورة، إلا أنه يشكل تهديدًا كبيرًا كتمهيد لهجمات أكثر خطورة. كما أشار الباحث جوليان أهرينز، يمكن أن تكون معرفة المسار الدقيق للخادم أداة أساسية لمهاجم مُعتمَد لاستغلال ثغرات أخرى بنجاح، مثل الثغرة الحرجة CVE-2025-47812 التي تسمح بتنفيذ التعليمات البرمجية عن بُعد. تشير الأدلة إلى أنه تم بالفعل استغلال CVE-2025-47812 في البرية منذ يوليو 2025 على الأقل، حيث استخدمه المهاجمون لتنزيل نصوص لوا الخبيثة، وإجراء استطلاع، ونشر أدوات الوصول عن بُعد.
ردًا على الاستغلال النشط المؤكد، فرضت سيسا على جميع الوكالات الفيدرالية المدنية التنفيذية الأمريكية (FCEB) تطبيق التصحيح المقدم من المطور قبل موعد محدد لتأمين شبكاتها. على الرغم من أن التفاصيل المحددة للهجمات في البرية التي تستغل CVE-2025-47813 ليست علنية، فإن إضافتها إلى كتالوج KEV تؤكد المخاطر العملية. يُنصح محترفو الأمن السيبراني بشدة بالترقية الفورية لخادم وينج FTP إلى الإصدار 7.4.4 أو أحدث. بالنسبة للمؤسسات غير القادرة على التصحيح فورًا، يعد تنفيذ تجزئة صارمة للشبكة ومراقبة الطلبات غير الطبيعية إلى نقطة النهاية `/loginok.html` من الإجراءات الدفاعية المؤقتة الحرجة.
