Luka w Fortinet FortiWeb umożliwiająca zdalne wykonanie kodu

Wykryto lukę out-of-bounds write w Fortinet FortiWeb umożliwiającą zdalne wykonanie kodu. Zalecane szybkie działania zabezpieczające.
CVE-2026-40688CVSS 7.2Firewall

Luka w Fortinet FortiWeb umożliwiająca zdalne wykonanie kodu

Wykryto lukę out-of-bounds write w Fortinet FortiWeb umożliwiającą zdalne wykonanie kodu. Zalecane szybkie działania zabezpieczające.

CVSS
7.2 HIGH
EPSS
92.89%
Aktywnie wykorzystywana
brak w KEV
Produkt
fortiweb

Co wiadomo

W Fortinet FortiWeb w wersjach 7.4.0–7.4.11, 7.6.0–7.6.6 oraz 8.0.0–8.0.3 wykryto lukę typu out-of-bounds write (CWE-787). Pozwala ona zdalnemu atakującemu z uprawnieniami na wykonanie dowolnego kodu lub poleceń poprzez specjalnie spreparowane żądania HTTP.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury sieciowej, gdyż umożliwia zdalne przejęcie kontroli nad urządzeniem FortiWeb. Może to prowadzić do nieautoryzowanego dostępu, wycieku danych lub zakłócenia działania systemów chronionych przez firewall. Operatorzy powinni traktować tę podatność jako wysokiego priorytetu do szybkiego zaadresowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Fortinet dla dotkniętych wersji FortiWeb. W międzyczasie warto ograniczyć ekspozycję urządzeń na nieznane źródła ruchu HTTP, monitorować logi pod kątem podejrzanych żądań oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS