این نقص با شدت حداکثری (CVSS 10) در نسخه‌های قبل از 7.4.4 اجازه می‌دهد مهاجم بدون احراز هویت، با تزریق Null Byte و اجرای کد Lua به سطح root/SYSTEM برسد. گزارش‌ها از سوءاستفاده فعال خبر می‌دهند.

خلاصه مدیریتی

• محصول هدف: Wing FTP Server (Windows/Linux/macOS)
• بردار حمله: تزریق Null Byte در فیلدهای ورود وب و تزریق Lua به فایل‌های نشست ➜ اجرای فرمان سیستم.
• دامنه تأثیر: تسلط کامل روی سرور، حتی با حساب ناشناس (anonymous FTP).
• وضعیت: در حال سوءاستفاده توسط مهاجمان طبق رصد هانتِرس.

نسخه‌های آسیب‌پذیر

تمام نسخه‌های قبل از 7.4.4 آسیب‌پذیر هستند. وصله در 7.4.4 ارائه شده است.

اقدام فوری (پیشنهاد پام‌تِک)

1. ارتقاء فوری به Wing FTP Server 7.4.4 یا جدیدتر.
2. تا زمان ارتقاء: غیرفعال‌سازی HTTP/HTTPS پنل‌های وب، حذف Anonymous و محدودکردن دسترسی مدیریتی به IPهای مجاز.
3. پایش دایرکتوری‌های نشست/لاگ برای فایل‌های غیرعادی و تلاش‌های ایجاد کاربر جدید.
4. قرار دادن سرویس پشت WAF/Reverse Proxy و مانیتورینگ رفتار فرآیند.

نشانه‌های احتمال نفوذ (IOC/Detection)

• فایل‌های نشست با الگوهای غیرعادی و کد Lua تزریق‌شده.
• اجرای ابزارهایی مثل certutil، curl، cmd.exe/powershell از سوی سرویس FTP.
• ایجاد حساب‌های محلی جدید یا دستکاری گروه‌ها بعد از فعالیت سرویس.
• درخواست‌های وب شامل کاراکتر %00 (Null Byte) در ورودی‌ها.