关键信息 1. 漏洞信息 产品: Wing FTP Server 版本 URL: https://www.wftpserver.com CWE: General Error Message Containing Sensitive Information [CWE-209] 发现日期: 2025-05-01 发布日期: 2025-06-30 CVSSv4 分数: 5.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:NH) CVE: CVE-2025-47813 2. 影响版本 受影响版本: WingFTP Server <= 7.4.3 3. 漏洞细节 问题描述: 端点未正确验证 会话 cookie 的值。如果提供的值超过底层操作系统的最大路径大小,将触发错误消息,披露完整的本地服务器路径。 影响: 成功利用此漏洞的认证攻击者可以获取应用程序的本地服务器路径,有助于利用其他漏洞(如 CVE-2025-47812)。 4. 解决方案 修复措施: 升级到版本 7.4.4 5. 报告时间线 发现漏洞: 2025-05-10 分配 CVE: 2025-05-12 联系厂商: 2025-05-12 厂商确认: 2025-05-12 发布修复版本: 2025-06-14 完全披露: 2025-06-30 6. 参考链接 https://www.rcesecurity.com https://www.wftpserver.com