Fortinet avertizează asupra unei noi vulnerabilități în FortiWeb

Fortinet a avertizat asupra unei noi vulnerabilități de securitate în FortiWeb, care, potrivit companiei, a fost exploatată.

Vulnerabilitatea, identificată ca CVE-2025-58034, are un scor CvSS de 6.7/10 și un grad de severitate mediu.

O vulnerabilitate de tip Improper Neutralization a elementelor speciale utilizate într-o comandă OS (OS Command Injection) [CWE-78] în FortiWeb poate permite unui atacator autentificat să execute cod neautorizat pe sistemul de bază prin intermediul cererilor HTTP sau comenzilor CLI malițioase, a semnalat compania într-un aviz.

Pentru ca atacurile să aibă succes, atacatorul trebuie mai întâi să se autentifice prin alte mijloace și să le asocieze cu CVE-2025-58034 pentru a executa comenzi arbitrare ale sistemului de operare.

Această vulnerabilitate a fost remediată în următoarele versiuni:

• FortiWeb 8.0.0 până la 8.0.1 (actualizați la 8.0.2 sau o versiune ulterioară);
• FortiWeb 7.6.0 până la 7.6.5 (actualizați la 7.6.6 sau o versiune ulterioară);
• FortiWeb 7.4.0 până la 7.4.10 (actualizați la 7.4.11 sau o versiune ulterioară);
• FortiWeb 7.2.0 până la 7.2.11 (actualizare la 7.2.12 sau o versiune superioară);
• FortiWeb 7.0.0 până la 7.0.11 (actualizare la 7.0.12 sau o versiune superioară).

Interesant este că această situație survine la câteva zile după ce Fortinet a confirmat că a remediat în mod discret o altă vulnerabilitate critică FortiWeb (CVE-2025-64446, scor CVSS: 9.1/10) în versiunea 8.0.2.

Sursă: https://thehackernews.com/2025/11/fortinet-warns-of-new-fortiweb-cve-2025.html