Kritisk FortiWeb-sårbarhed - høj EPSS-score

Eskil Sørensen

11.17.2025 13:58

Under aktiv udnyttelse - EPSS-score på knap 40 pct.

Den 14. november 2025 udsendte Fortinet en advarsel om en kritisk "Path Confusion" sårbarhed i FortiWeb, som aktivt udnyttes i angreb mod internetvendte systemer. Sårbarheden har id'et EUVD-2025-197613 / CVE-2025-64446 og en CVSSv3-score på 9.1. EPSS-scoren er pt. 39,23 pct.

De berørte versioner er

FortiWeb 7.0.0 – 7.0.11
FortiWeb 7.2.0 – 7.2.11
FortiWeb 7.4.0 – 7.4.9
FortiWeb 7.6.0 – 7.6.4
FortiWeb 8.0.0 – 8.0.1

Sårbarheden gør det muligt for en uautoriseret aktør at udføre administrative kommandoer via manipulerede HTTP/HTTPS-forespørgsler. Det sker gennem en fejl i FortiWebs håndtering af sti-validering, som kan omgå adgangskontrol.

Da der endnu ikke er frigivet en opdatering, anbefaler Fortinet følgende workaround:

Deaktiver HTTP/HTTPS på internetvendte grænseflader.
Sørg for, at administrationsgrænseflader kun er tilgængelige internt.

Dette reducerer risikoen betydeligt, men er ikke en permanent løsning.

Der er bekræftet aktiv udnyttelse. Det anbefales derfor at organisationer

Gennemgår logs for mistænkelige HTTP/HTTPS-anmodninger.
Overvåger systemer for uautoriserede ændringer.
Implementerer netværkssegmentering og adgangsbegrænsning.

Læs mere

https://fortiguard.fortinet.com/psirt/FG-IR-25-910

Sårbarhed