Krytyczna luka w Fortinet FortiFone umożliwiająca nieautoryzowany dostęp do konfiguracji urządzenia

Krytyczna luka w Fortinet FortiFone pozwala na uzyskanie konfiguracji urządzenia przez nieautoryzowanych atakujących. Sprawdź zalecenia bezpieczeństwa.
CVE-2025-47855CVSS 9.8Firewall

Krytyczna luka w Fortinet FortiFone umożliwiająca nieautoryzowany dostęp do konfiguracji urządzenia

Krytyczna luka w Fortinet FortiFone pozwala na uzyskanie konfiguracji urządzenia przez nieautoryzowanych atakujących. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
51.86%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Fortinet FortiFone w wersjach 7.0.0 do 7.0.1 oraz 3.0.13 do 3.0.23 wykryto krytyczną lukę bezpieczeństwa (CVE-2025-47855), która pozwala nieautoryzowanemu atakującemu na uzyskanie konfiguracji urządzenia poprzez specjalnie spreparowane żądania HTTP lub HTTPS. Luka ta stanowi poważne zagrożenie wycieku wrażliwych informacji.

Wpływ biznesowy

Eksploatacja tej luki może prowadzić do ujawnienia poufnych danych konfiguracyjnych urządzeń FortiFone, co może skutkować dalszymi atakami na infrastrukturę sieciową i poważnymi naruszeniami bezpieczeństwa. Operatorzy IT i właściciele infrastruktury powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji, aby zapobiec potencjalnym incydentom.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Fortinet dla dotkniętych wersji FortiFone. W międzyczasie warto ograniczyć ekspozycję urządzeń na nieautoryzowany dostęp, monitorować logi pod kątem podejrzanych żądań HTTP/HTTPS oraz wdrożyć dodatkowe mechanizmy kontroli dostępu. Priorytetem jest szybkie wdrożenie oficjalnych łatek bezpieczeństwa.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS