FortiWeb 路径遍历漏洞(CVE-2025-64446)
日期:2025-11-17 11:00:17 发布人:信息化建设中心 浏览量:0
一、漏洞概要
漏洞名称 | FortiWeb路径遍历漏洞(CVE-2025-64446) |
发布时间 | 2025年11月17日 |
组件名称 | FortiWeb |
影响范围 | 8.0.0≤FortiWeb≤8.0.1 |
漏洞类型 | 目录遍历 |
利用条件 | 1、用户认证:无需用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:容易,无需授权即可目录遍历。 <综合评定威胁等级>:高危,可实现目录遍历。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1组件介绍
FortiWeb是一个网页应用防火墙(WAF)是可保护托管的Web应用程序的攻击。
2.2漏洞描述
2025年11月17日,深瞳漏洞实验室监测到一则FortiWeb组件存在目录遍历漏洞的信息,漏洞编号:CVE-2025-64446,漏洞威胁等级:高危。
FortiWeb存在路径遍历漏洞,部分CGI接口访问控制存在缺陷,攻击者无需进行身份验证,也无需伪造HTTP头,仅通过构造特定的HTTP/HTTPS请求即可实现目录遍历。借助该漏洞,攻击者可执行创建后门账户、操控设备配置等任意管理命令,最终完全接管受影响设备,进而可能导致企业核心数据泄露、业务中断。目前已发现该漏洞存在在野利用情况。
三、影响范围
目前受影响的FortiWeb版本:
8.0.0≤FortiWeb≤8.0.1
7.6.0≤FortiWeb≤7.6.4
7.4.0≤FortiWeb≤7.4.9
7.2.0≤FortiWeb≤7.2.11
7.0.0≤FortiWeb≤7.0.11
官方修复建议
官方已发布最新版本修复该漏洞,建议受影响用户将FortiWeb更新到最新版本。