Krytyczna luka w Fortinet FortiWeb umożliwiająca przejście ścieżki

Krytyczna luka CVE-2025-64446 w Fortinet FortiWeb umożliwia zdalne wykonanie poleceń administracyjnych przez path traversal. Sprawdź zalecenia bezpieczeństwa.
CVE-2025-64446CVSS 9.8CISA KEVFirewall

Krytyczna luka w Fortinet FortiWeb umożliwiająca przejście ścieżki

Krytyczna luka CVE-2025-64446 w Fortinet FortiWeb umożliwia zdalne wykonanie poleceń administracyjnych przez path traversal. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
99.77%
Aktywnie wykorzystywana
tak
Produkt
FortiWeb

Co wiadomo

W Fortinet FortiWeb w wersjach od 7.0.0 do 8.0.1 wykryto krytyczną lukę typu path traversal, która pozwala atakującemu na wykonanie poleceń administracyjnych poprzez specjalnie spreparowane żądania HTTP/HTTPS. Luka ta ma ocenę CVSS 9.8 i została sklasyfikowana jako krytyczna.

Wpływ biznesowy

Eksploatacja tej luki może prowadzić do przejęcia kontroli nad systemem FortiWeb, co zagraża bezpieczeństwu sieci i danych firmy. Administratorzy powinni traktować tę podatność priorytetowo, gdyż umożliwia ona zdalne wykonanie poleceń administracyjnych bez uwierzytelnienia, co może skutkować poważnymi incydentami bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Fortinet dla FortiWeb w wersjach 7.0.0–8.0.1. W międzyczasie ogranicz dostęp do interfejsów zarządzania FortiWeb, monitoruj logi pod kątem podejrzanych żądań HTTP/HTTPS oraz weryfikuj reguły zapory sieciowej, aby zminimalizować ryzyko wykorzystania luki.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS