O vulnerabilitate critică de tip „path traversal”, identificată ca CVE-2025-64446, a fost făcută publică în produsul FortiWeb, soluția de tip Web Application Firewall (WAF) dezvoltată de Fortinet anunță DNSC. Problema de securitate permite executarea de comenzi cu nivel de administrator prin intermediul unor cereri HTTP/HTTPS trimise către dispozitivul vulnerabil.
Fortinet a confirmat că vulnerabilitatea este exploatată activ „in the wild”, ceea ce ridică nivelul de risc și transformă această problemă într-o urgență pentru organizațiile care utilizează FortiWeb în infrastructura lor.
De ce este vulnerabilitatea CVE-2025-64446 atât de periculoasă
Vulnerabilitatea permite unui atacator neautentificat să ocolească mecanismele de control al accesului și să ajungă direct la resurse și funcții cu privilegii ridicate. Practic, un actor malițios poate obține acces cu rol de administrator fără a deține un cont sau o parolă validă.
Impactul potențial include:
- execuție de comenzi cu rol de administrator fără autentificare;
- compromiterea completă a dispozitivului FortiWeb;
- expunerea aplicațiilor protejate de WAF;
- posibilitatea de pivotare către alte sisteme din rețeaua internă;
- crearea de conturi noi, modificarea configurațiilor, interceptarea sau redirecționarea traficului.
În practică, controlul asupra unui dispozitiv FortiWeb vulnerabil poate oferi atacatorului un punct de intrare în infrastructura internă și acces la aplicațiile…
