A CrushFTP a hétvégén figyelmeztetést adott ki, miszerint a hackerek egy zero-day sérülékenységet kihasználva adminisztrátori jogosultságot képesek szerezni a vállalat fájlátviteli szoftverének hibája miatt.
Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.
A termék egy elsődleges csatornát véd, de egy alternatív csatornára nem alkalmaz ugyanolyan szintű védelmet.
Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.
A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre irányítják, amely a korlátozott könyvtáron kívül van.
A program nem, vagy nem megfelelően szűri a bemeneten feltöltött speciális elemeket, ennek következtében megváltoztatható egy adott kódszegmens szintaxisa vagy viselkedése.
A kiberbiztonsági kutatók egy új kártevőcsaládot fedeztek fel, amit LameHug névre kereszteltek. A malware család különlegessége, hogy egy nagy nyelvi modellt (LLM) használ parancsok generálására a megfertőzött Windows rendszereken.
A Huntress kiberbiztonsági vállalat kutatói 2025. július 1-jén észlelték a CVE-2025-47812 azonosítójú, CVSS 10-es súlyosságú távoli kódfuttatási hiba kihasználására irányuló első próbálkozásokat a Wing FTP Server ellen, alig egy nappal a nyilvános bejelentése után.
A termék bemenetet kap egy felsőbb szintű komponensből, azonban nem semlegesíti, vagy hibásan semlegesíti a NUL karaktereket (null bájtokat), amikor azokat egy alsóbb szintű komponens felé továbbítja.
A hackerek egy új technikát, a FileFix módszert alkalmazzák az Interlock ransomware támadások során, hogy remote access trojan-t (RAT) juttassanak a célzott rendszerekre.