Krytyczna luka w Fortinet FortiFone umożliwiająca nieautoryzowany dostęp do konfiguracji urządzenia
Krytyczna luka w Fortinet FortiFone pozwala na uzyskanie konfiguracji urządzenia przez nieautoryzowanych atakujących. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 51.86%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Fortinet FortiFone w wersjach 7.0.0 do 7.0.1 oraz 3.0.13 do 3.0.23 wykryto krytyczną lukę bezpieczeństwa (CVE-2025-47855), która pozwala nieautoryzowanemu atakującemu na uzyskanie konfiguracji urządzenia poprzez specjalnie spreparowane żądania HTTP lub HTTPS. Luka ta stanowi poważne zagrożenie wycieku wrażliwych informacji.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do ujawnienia poufnych danych konfiguracyjnych urządzeń FortiFone, co może skutkować dalszymi atakami na infrastrukturę sieciową i poważnymi naruszeniami bezpieczeństwa. Operatorzy IT i właściciele infrastruktury powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji, aby zapobiec potencjalnym incydentom.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Fortinet dla dotkniętych wersji FortiFone. W międzyczasie warto ograniczyć ekspozycję urządzeń na nieautoryzowany dostęp, monitorować logi pod kątem podejrzanych żądań HTTP/HTTPS oraz wdrożyć dodatkowe mechanizmy kontroli dostępu. Priorytetem jest szybkie wdrożenie oficjalnych łatek bezpieczeństwa.