Alvorlig sårbarhed i FortiWeb

Eskil Sørensen

08.18.2025 11:28

Uhensigtsmæssig adgangskontrol sårbarhed i FortiWeb

Fortinet har den 12. august 2025 udgivet opdateringer til en "Improper access control" sårbarhed i FortiWeb. Sårbarheden har id’et EUVD-2025-24471 / CVE-2025-52970) og en CVSS-score på 7,7. EPSS-scoren er sat til 0,24 pct.

De berørte systemer er følgende:

FortiWeb 7.6 - 7.6.0 til 7.6.3 – rettet i 7.6.4 og nyere
FortiWeb 7.4 - 7.4.0 til 7.4.7 – rettet i 7.4.8 og nyere
FortiWeb 7.2 - 7.2.0 til 7.2.10 – rettet i 7.2.11 og nyere
FortiWeb 7.0 - 7.0.0 til 7.0.10 – rettet i 7.0.11 og nyere

Sårbarheden vedrører en forkert håndtering af parametre i FortiWeb. Det kan gøre det muligt for en uautoriseret ekstern aktør, der har adgang til ikke-offentlige oplysninger (vedrørende både enheden og den målrettede bruger), at logge ind som enhver eksisterende bruger på enheden via en særligt udformet anmodning.

En delvis proof of concept exploit er offentligt tilgængelig på nettet, og den fulde udgivelse vil blive gjort offentligt snarest. Derfor, hvis man ikke har opdateret sine installationer, så anbefales det at gøre dette hurtigst muligt - for der eksisterer ikke nogen workarounds.

Det anbefales at opdatere sårbare installation med det samme, jvf. producentens anvisninger.

Læs mere

https://fortiguard.fortinet.com/psirt/FG-IR-25-448

Sårbarhed