الثغرات ›

CVE-2019-25267

مرتفع ⚡ اختراق متاح

CWE-428 — نوع الضعف

                    نُشر: Feb 5, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Wing FTP Server 6.0.7 contains an unquoted service path vulnerability that allows local attackers to potentially execute arbitrary code with elevated system privileges. Attackers can exploit the unquoted binary path in the service configuration to inject malicious executables that will be launched with LocalSystem permissions.

🤖 ملخص AI

Wing FTP Server 6.0.7 contains a critical unquoted service path vulnerability (CVE-2019-25267) allowing local attackers to execute arbitrary code with LocalSystem privileges. This privilege escalation vulnerability poses significant risk to organizations using Wing FTP for file transfer operations, particularly in government and enterprise environments. An exploit is publicly available, making immediate patching essential for all affected deployments.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 27, 2026 00:57

🇸🇦 التأثير على المملكة العربية السعودية

Saudi government agencies, financial institutions regulated by SAMA, and critical infrastructure operators using Wing FTP Server are at elevated risk. Banking sector organizations, telecommunications providers (STC, Mobily), and healthcare facilities managing sensitive data through FTP services face potential data breach and system compromise risks. Government entities under NCA oversight and energy sector organizations (ARAMCO subsidiaries) utilizing legacy FTP infrastructure are particularly vulnerable. The LocalSystem privilege escalation capability enables attackers to bypass security controls and establish persistent access to critical systems.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare and Medical Facilities Energy and Utilities Telecommunications Critical Infrastructure Defense and Military Education and Research

🎯 تقنيات MITRE ATT&CK

T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.011 - Boot or Logon Autostart Execution: Services T1134.003 - Access Token Manipulation: Make and Impersonate Token T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt T1574.008 - Hijack Execution Flow: DLL Search Order Hijacking T1036.003 - Masquerading: Rename System Utilities T1053.005 - Scheduled Task/Job: Scheduled Task T1543.003 - Create or Modify System Process: Windows Service

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Wing FTP Server 6.0.7 installations across your infrastructure using asset discovery tools

2. Isolate affected systems from production networks if immediate patching is not feasible

3. Restrict local access to FTP server systems through access control lists

4. Monitor for suspicious process execution and service modifications

PATCHING GUIDANCE:

1. Upgrade Wing FTP Server to version 6.0.8 or later immediately

2. Verify patch installation by checking service binary path configuration

3. Restart FTP services after patching to ensure proper execution

4. Test FTP functionality post-patch in staging environment before production deployment

COMPENSATING CONTROLS (if immediate patching delayed):

1. Implement strict file system permissions on FTP installation directory

2. Disable local user accounts with unnecessary privileges

3. Apply Windows AppLocker policies to restrict executable execution

4. Monitor Windows Event Viewer for service creation/modification events (Event ID 7045)

5. Implement host-based intrusion detection for suspicious process spawning

DETECTION RULES:

1. Monitor for unquoted service path exploitation attempts in Windows Registry (HKLM\SYSTEM\CurrentControlSet\Services\WingFTPServer)

2. Alert on unexpected child processes spawned from Wing FTP service

3. Track file creation in system directories (C:\Windows\System32, C:\Windows\SysWOW64) with suspicious names

4. Monitor for privilege escalation events (Event ID 4688 with elevated token)

5. Implement Sysmon rules for service binary path modifications

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع تثبيتات Wing FTP Server 6.0.7 عبر البنية التحتية باستخدام أدوات اكتشاف الأصول

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إذا لم يكن التصحيح الفوري ممكناً

3. تقييد الوصول المحلي لأنظمة خادم FTP من خلال قوائم التحكم في الوصول

4. مراقبة تنفيذ العمليات المريبة وتعديلات الخدمة

إرشادات التصحيح:

1. ترقية Wing FTP Server إلى الإصدار 6.0.8 أو أحدث فوراً

2. التحقق من تثبيت التصحيح بفحص تكوين مسار ملف الخدمة

3. إعادة تشغيل خدمات FTP بعد التصحيح لضمان التنفيذ الصحيح

4. اختبار وظائف FTP بعد التصحيح في بيئة التجريب قبل نشر الإنتاج

الضوابط البديلة (إذا تأخر التصحيح الفوري):

1. تطبيق أذونات نظام الملفات الصارمة على دليل تثبيت FTP

2. تعطيل حسابات المستخدمين المحليين ذات الامتيازات غير الضرورية

3. تطبيق سياسات Windows AppLocker لتقييد تنفيذ الملفات القابلة للتنفيذ

4. مراقبة Windows Event Viewer لأحداث إنشاء/تعديل الخدمة (معرف الحدث 7045)

5. تطبيق الكشف عن التطفل على مستوى المضيف للعمليات المريبة

قواعد الكشف:

1. مراقبة محاولات استغلال مسار الخدمة غير المقتبس في سجل Windows (HKLM\SYSTEM\CurrentControlSet\Services\WingFTPServer)

2. تنبيه العمليات الفرعية غير المتوقعة المنبثقة من خدمة Wing FTP

3. تتبع إنشاء الملفات في أدلة النظام (C:\Windows\System32, C:\Windows\SysWOW64) بأسماء مريبة

4. مراقبة أحداث تصعيد الامتيازات (معرف الحدث 4688 مع رمز مرفوع)

5. تطبيق قواعد Sysmon لتعديلات مسار ملف الخدمة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Information security policies and procedures A.6.1.1 - Access control policy A.6.2.1 - User registration and de-registration A.8.1.1 - Asset management policy A.12.2.1 - Change management procedures A.12.6.1 - Management of technical vulnerabilities

🔵 SAMA CSF

ID.AM-2 - Software platforms and applications are inventoried PR.AC-1 - Identities and credentials are issued and managed PR.PT-2 - Removable media is protected and its use restricted DE.CM-3 - Personnel activity is monitored to detect anomalous behavior RS.MI-2 - Incidents are mitigated

🟡 ISO 27001:2022

A.5.1 - Management direction for information security A.6.1 - Internal organization A.8.1 - Asset management A.12.2 - Change management A.12.6 - Management of technical vulnerabilities A.14.2 - Development and change management

🟣 PCI DSS v4.0.1

Requirement 2.2 - Configuration standards for system components Requirement 6.2 - Ensure security patches are installed Requirement 11.2 - Run automated vulnerability scans

🔗 المراجع والمصادر 3

🔗

https://www.exploit-db.com/exploits/47818

disclosure@vulncheck.com

Exploit Third Party Advisory VDB Entry

🔗

https://www.vulncheck.com/advisories/wing-ftp-server-unquoted-service-path

disclosure@vulncheck.com

Third Party Advisory

🔗

https://www.wftpserver.com/

disclosure@vulncheck.com

Product

📦 المنتجات المتأثرة 1 منتج

wftpserver:wing_ftp_server:6.0.7

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-428

EPSS0.01%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-05

المصدر nvd

المشاهدات 7

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available CWE-428

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2019-25267

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب