CISAがWing FTPサーバーの情報漏洩脆弱性を悪用確認リストに追加、重大なRCE脆弱性との連鎖に警戒

脆弱性の概要

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年3月16日、Wing FTPサーバーに存在する情報漏洩の脆弱性CVE-2025-47813を既知悪用脆弱性（KEV）カタログに追加した。この脆弱性はCVSSスコア4.3の中程度の深刻度と評価されているが、実際に悪用が確認されたことから、連邦政府機関に対して3月30日までのパッチ適用が義務付けられている。

影響を受けるのはWing FTPサーバーのバージョン7.4.3以前のすべてのバージョンで、修正版となるバージョン7.4.4は2025年5月にリリース済みである。

技術的な詳細

この脆弱性は、Wing FTPサーバーの「/loginok.html」エンドポイントにおけるUIDセッションCookieの検証不備に起因する。攻撃者がUIDクッキーにOSの最大パスサイズを超える長大な値を送信すると、エラーメッセージにサーバーのローカルインストールパスが含まれてしまう。CISAは「UIDクッキーに長い値を使用した際に、機密情報を含むエラーメッセージが生成される脆弱性」と説明している。

この脆弱性を発見したのはセキュリティ研究者のJulien Ahrens氏（RCE Security）で、責任ある開示プロセスを通じて報告された。

重大なRCE脆弱性との関連性

CVE-2025-47813が特に警戒を要する理由は、同じバージョン7.4.4で修正されたもう一つの脆弱性CVE-2025-47812との関連にある。CVE-2025-47812はCVSSスコア10.0の最高深刻度を持つリモートコード実行（RCE）脆弱性であり、2025年7月以降、実際に悪用が確認されている。脆弱性を発見したAhrens氏は「この脆弱性の悪用に成功すると、認証済みの攻撃者がアプリケーションのローカルサーバーパスを取得でき、CVE-2025-47812のような脆弱性の悪用に役立つ可能性がある」と述べている。ただし、現時点ではこの脆弱性が実際にどのように悪用されているか、またCVE-2025-47812と併用されているかどうかの詳細は明らかになっていない。

単体では中程度の深刻度に過ぎない情報漏洩の脆弱性が、致命的なRCE脆弱性と組み合わさることで深刻な脅威となる典型的なケースであり、Wing FTPサーバーの管理者は速やかにバージョン7.4.4以降へのアップデートを実施すべきである。