**脆弱性の詳細** **Wing FTP Server**は、SFTPおよび統合Webサーバー経由でセキュアなファイル転送機能を提供するクロスプラットフォームのFTPサーバーソリューションです。このソフトウェアは、世界中で10,000社以上の顧客を擁すると開発者が主張しており、**米空軍**、**ソニー**、**エアバス**、**ロイター**、**セフォラ**などが含まれます。 **CVE-2025-47813**として追跡されているこの脆弱性は、低レベルの権限を持つ攻撃者が、脆弱でパッチが適用されていないサーバー上のアプリケーションの完全なローカルインストールパスを特定することを可能にします。 「**Wing FTP Server**は、UID Cookieに長い値を使用した場合に、機密情報を含むエラーメッセージを生成する脆弱性を抱えています」と、**CISA**は勧告で説明しています。 **パッチの入手可能性と関連脆弱性** 開発者は、**Wing FTP Server** v7.4.4のリリースで**CVE-2025-47813**に対処しました。このアップデートには、重大なRCEバグである**CVE-2025-47812**と、ユーザーパスワードを盗むために悪用される可能性のある情報漏洩の脆弱性である**CVE-2025-27889**の修正も含まれていました。 **実際の悪用** RCE脆弱性である**CVE-2025-47812**は、技術的な詳細が公開された直後に攻撃が開始され、以前から実際に悪用されていることが報告されていました。 これらの脆弱性を発見し報告したセキュリティ研究者のJulien Ahrens氏は、6月に**CVE-2025-47813**の概念実証（Proof-of-Concept）エクスプロイトコードも公開しました。Ahrens氏は、攻撃者が悪用を試みる際にこの脆弱性を**CVE-2025-47812**と連鎖させる可能性があることを示唆しました。 **CISAの措置と推奨事項** 火曜日、**CISA**は**CVE-2025-47813**を活発に悪用されている脆弱性のカタログに追加しました。連邦民間執行機関（FCEB）は、2021年11月に発行されたBinding Operational Directive（BOD）22-01に基づき、システムへのパッチ適用期限として2週間の猶予を与えられています。 BOD 22-01は連邦機関を対象としていますが、**CISA**は、潜在的な攻撃を軽減するために、民間部門を含むすべての組織に、サーバーへの迅速なパッチ適用を強く推奨しています。 「この種の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と**CISA**は警告しています。 **緩和策のガイダンス** **CISA**は以下の対策を推奨しています。 * ベンダーの指示に従って緩和策を適用する。 * クラウドサービスに関する適用可能なBOD 22-01ガイダンスに従う。 * 緩和策が利用できない場合は、製品の使用を中止する。 <!-- Raw HTML for Sponsored Content --> <div> <div> <h2>Red Report 2026: ランサムウェアの暗号化が38%減少した理由</h2> <p>マルウェアはより巧妙になっています。Red Report 2026は、新しい脅威がどのように数学を使用してサンドボックスを検出し、目立たないように隠れているかを明らかにします。</p> <p>110万件の悪意のあるサンプルの分析をダウンロードして、トップ10のテクニックを明らかにし、あなたのセキュリティスタックが盲目になっていないか確認してください。</p> </div> </div>