Вразливість обходу шляху в Fortinet FortiWeb дозволяє виконувати адміністративні команди

Критична вразливість обходу шляху в Fortinet FortiWeb дозволяє виконувати адміністративні команди через HTTP/HTTPS запити. Рекомендується термінове оновлення.
CVE-2025-64446CVSS 9.8CISA KEVFirewall

Вразливість обходу шляху в Fortinet FortiWeb дозволяє виконувати адміністративні команди

Критична вразливість обходу шляху в Fortinet FortiWeb дозволяє виконувати адміністративні команди через HTTP/HTTPS запити. Рекомендується термінове оновлення.

CVSS
9.8 CRITICAL
EPSS
99.77%
Активно використовується
так
Продукт
FortiWeb

Що відомо

У Fortinet FortiWeb версій 7.0.0–8.0.1 виявлено критичну вразливість обходу шляху, що дозволяє зловмиснику через спеціально сформовані HTTP/HTTPS запити виконувати адміністративні команди на системі. Рівень небезпеки оцінено як критичний (CVSS 9.8).

Бізнес-вплив

Ця вразливість може призвести до повного контролю над пристроєм FortiWeb, що ставить під загрозу безпеку мережевого захисту та конфіденційність даних. Для операторів ІТ та власників інфраструктури це означає необхідність термінового реагування, оскільки експлуатація уразливості може спричинити масштабні порушення роботи та витік інформації.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від Fortinet для відповідних версій FortiWeb та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до пристрою, ретельно аналізувати журнали подій на предмет підозрілої активності та пріоритезувати усунення цієї вразливості у планах безпеки.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки