Krytyczna luka w Fortinet FortiWeb umożliwiająca przejście ścieżki
Krytyczna luka CVE-2025-64446 w Fortinet FortiWeb umożliwia zdalne wykonanie poleceń administracyjnych przez path traversal. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 99.77%
- Aktywnie wykorzystywana
- tak
- Produkt
- FortiWeb
Co wiadomo
W Fortinet FortiWeb w wersjach od 7.0.0 do 8.0.1 wykryto krytyczną lukę typu path traversal, która pozwala atakującemu na wykonanie poleceń administracyjnych poprzez specjalnie spreparowane żądania HTTP/HTTPS. Luka ta ma ocenę CVSS 9.8 i została sklasyfikowana jako krytyczna.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do przejęcia kontroli nad systemem FortiWeb, co zagraża bezpieczeństwu sieci i danych firmy. Administratorzy powinni traktować tę podatność priorytetowo, gdyż umożliwia ona zdalne wykonanie poleceń administracyjnych bez uwierzytelnienia, co może skutkować poważnymi incydentami bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Fortinet dla FortiWeb w wersjach 7.0.0–8.0.1. W międzyczasie ogranicz dostęp do interfejsów zarządzania FortiWeb, monitoruj logi pod kątem podejrzanych żądań HTTP/HTTPS oraz weryfikuj reguły zapory sieciowej, aby zminimalizować ryzyko wykorzystania luki.