Wing FTP ServerのRCEの脆弱性は、10人の企業への扉を開きます。
1752344021 2025-07-12 16:12:00 RHCエディトリアルスタッフ :2025年7月12日18:12 ハントレスの研究者 検出しました 重要な脆弱性の積極的な搾取 Wing FTPサーバー、その公開の1日後。脆弱性 CVE-2025-47812 最高の重大度評価が割り当てられています (CVSS 10.0)、 それだから 脆弱なサーバー上の任意のコードのリモート実行を許可します。この問題は発見され、報告されました RCEセキュリティ 専門家ですが、パッチがリリースされてから1か月以上経った6月30日に技術的な詳細を公開しました。 Wing FTPサーバーは、FTP、FTP、SFTP、およびHTTP/Sプロトコルをサポートする一般的なクロスプラットフォームファイル転送ソリューションです。開発者によると、このプログラムは、エアバス、ロイター、米空軍など、世界中の10,000人以上のクライアントが使用しています。脆弱性は、Wing FTP Webインターフェイスのユーザー名処理メカニズムに影響します。含有ユーザー名 null byte()が渡され、続くすべてがLUAコードとして解釈されます。このコードはセッションファイルに保存され、その後脱出中に実行され、攻撃者が サーバーの完全な制御を獲得します。 ハントレスによると、最初の攻撃が始まりました 7月1日、脆弱性が開示されてから24時間以内。 攻撃者は、公開された技術情報に明らかに依存していました。当初、研究者は被害者のサーバーへの3つの接続を記録し、その後4番目の攻撃者が出現し、ファイルシステムを積極的にスキャンしました。 新しいユーザーを作成し、システムに浸透しようとします。 しかし、彼らの行動は低いレベルの準備を明らかにしました。コマンドにはエラーが含まれ、PowerShellがクラッシュし、トロイの木馬をダウンロードしようとする試みが失敗しました。ファイルはMicrosoft Defenderによって傍受されました。ログの分析により、ある時点で、攻撃者はインターネットを検索しようとし、Curlユーティリティの使用方法を検索しようとし、おそらくヘルプを求めたことが示されました。サーバーに接続された5番目の参加者です。 いくつかの試みに失敗した後、攻撃者は悪意のあるファイルをアップロードしようとしましたが、その後すぐにサーバーがクラッシュし、組織はそれを検疫し、さらなる行動を妨げました。攻撃の非効率性にもかかわらず、 ハントレスは、CVE-2025-47812の脆弱性が積極的に悪用されており、本当の脅威をもたらすと警告しています。 研究者はそれを強くお勧めします すべてのWing FTPユーザーは、修正を含むバージョン7.4.4に更新されます。 この事件はまた、レガシープロトコルの脆弱性を強調しました。 FTPは1970年代に作成されましたが、当時のセキュリティは優先事項ではありませんでした。 Wing FTPは、などのより安全なプロトコルをサポートしています SFTPとMFT、 これらは、商用バージョンでのみ利用できます。などの多くの現代プロジェクト Chrome、Firefox、およびDebian プロのサークルにおけるプロトコルに対する態度の一般的な変化を反映して、FTPへの支持を放棄してからずっとしてきました。 起草Red Hot Cyberの編集チームは、個人のグループと匿名の情報源で構成されています。匿名の情報源は、一般的なサイバーセキュリティとコンピューティングに関する初期の情報とニュースを提供するために積極的に協力しています。 記事のリスト #Wing #FTP #ServerのRCEの脆弱性は10人の企業への扉を開きます
女子 FTP 2025-29 – WPL は 2026 年から 1 月から 2 月に移動 – ハンドレッド、WBBL 専用ウィンドウ
女子プレミアリーグ(WPL)は2026年から1月から2月に開催されるが、ハンドレッド(8月)とWBBL(11月)には2025年から29年サイクルの新しい女子フューチャーツアープログラムの専用枠が割り当てられている。 BCCIがWPLを移転したことにより、クリケット・オーストラリアは最も収益性の高い女子フランチャイズリーグとの対戦を避けるため、女子の夏の主要試合を1月中旬から2月、3月に延期することになった。 1月12日に開幕する2024-25年の女子アッシュは、オーストラリアが1月に主催する2029年まで最後の国際試合となる。オーストラリアの新たな窓口となるホームシリーズの最初の試合は、インドによる1回のテスト、3回のODI、 2026 年 1 月から 2 月の WPL 後の 3 つの T20I。 ICC女子ODIチャンピオンシップは、ジンバブエの追加により、新しいFTPの11チームに拡大されました。これは、10月にインドで開催される来年のODIワールドカップで最高潮に達する進行中のサイクルにバングラデシュとアイルランドが追加されたことに続くものである。ジンバブエの参加は、女子チームを擁しないアフガニスタンを除くすべてのICC正会員が選手権に参加することを意味する。 女子チャンピオンシップの拡大により、各国は3年サイクルでホームとアウェーで4チームと対戦することになる。次期サイクルで初出場となるジンバブエは、南アフリカ、西インド諸島、アイルランド、スリランカを主催し、インド、ニュージーランド、バングラデシュ、パキスタンを巡回する。 予想通り、インドとパキスタンは新しいFTPの世界トーナメントでのみ対戦し、二国間シリーズでは対戦しない。 主にメンバー主導で行われたもう 1 つの追加として、チームはこのサイクル中の ICC イベントの準備の一環として 3 シリーズをスケジュールしました。 「2026年のICC女子T20ワールドカップに先立ち、イングランドはインドとニュージーランドを主催してこのような3チームによるT20Iトーナメントを開催し、アイルランドはパキスタンと西インド諸島を主催する」とICCゼネラルマネージャーのワシム・カーンは述べた。 「スリランカと西インド諸島も、それぞれ2027年と2028年にトライシリーズを開催する予定の加盟国です。」 女子向けT20チャンピオンズトロフィー ICCは、毎年少なくとも1回の女子世界トーナメントを開催するという戦略計画の一環として、2027年にスリランカで開催されるT20チャンピオンズトロフィーを導入した。この新しいトーナメントには 6 チームが参加し、16 試合で構成されます。この大会が女子カレンダーに追加されるということは、ロサンゼルスオリンピック(2028年8月)とT20ワールドカップ(2028年9月)を含む3つの世界的なイベントが12カ月にわたって開催されることを意味する。 これにより、新しいFTPサイクルにおけるICCシニア女子イベントの数は5つとなり、T20ワールドカップが2回(2026年と2028年)、ODIワールドカップが2回(2025年と2029年)、そして2027年にT20チャンピオンズトロフィーが1回となる。 ODIワールドカップは2029年から10チームが48試合を行う(2025年までは8チーム、31試合から増加)、T20ワールドカップは2026年から12チームが33試合を行う(10チーム、23試合から増加) 2024 年まで)。 女子 FTP – テストクリケット•ESPNcricinfo Ltd 西インド諸島、20年ぶりにテストに参加 このサイクルには合計 15 の女子テストが含まれており、西インド諸島は 20 年以上ぶりにこの形式に復帰する予定です。 2026年3月にマルチフォーマットシリーズの一環としてオーストラリアとのテスト戦を主催し、2027年4月にホームでイングランドと対戦し、2028年12月に南アフリカでテスト戦を行う予定だ。 西インド諸島が最後にテストに参加したのは2003-04年のパキスタン戦で、女子テストは全部で12回しか行っていない。一方、インドは2026年のアウェイテストでオーストラリアと南アフリカと対戦し、サイクル後半にはオーストラリアとイングランドをホームに迎える予定だ。 約10年ぶりに2回目の女子テストでオーストラリアを訪れた南アフリカは、2027年3月から4月にかけて初めてオーストラリアでテストを開催する。新しいFTPは2029年のODIワールドカップで終了する。まだ発表されていません。 Shashank Kishore は ESPNcricinfo の上級副編集長です