CVE-2025-59718: Błąd weryfikacji podpisu kryptograficznego w produktach Fortinet
Krytyczna luka weryfikacji podpisu w Fortinet umożliwia obejście uwierzytelniania FortiCloud SSO. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
- CVSS
- 9.8 CRITICAL
- EPSS
- 99.18%
- Aktywnie wykorzystywana
- tak
- Produkt
- Multiple Products
Co wiadomo
W produktach Fortinet, w tym FortiOS, FortiProxy i FortiSwitchManager, wykryto krytyczną lukę umożliwiającą nieautoryzowanemu atakującemu ominięcie uwierzytelniania FortiCloud SSO poprzez spreparowaną odpowiedź SAML. Luka dotyczy wielu wersji oprogramowania i ma ocenę CVSS 9.8.
Wpływ biznesowy
Luka ta pozwala na obejście mechanizmu uwierzytelniania, co może skutkować nieautoryzowanym dostępem do systemów zarządzanych przez Fortinet. Dla operatorów IT i właścicieli infrastruktury oznacza to poważne ryzyko naruszenia bezpieczeństwa, potencjalną utratę kontroli nad urządzeniami oraz możliwość eskalacji ataków w sieci.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji bezpieczeństwa u dostawcy Fortinet oraz ich szybkie wdrożenie. W międzyczasie warto ograniczyć ekspozycję usług FortiCloud SSO, monitorować logi pod kątem podejrzanych prób logowania oraz priorytetyzować działania naprawcze zgodnie z ryzykiem.