Uppdaterad: 2025-11-26 12:45 Publicerad: 2025-11-17 16:15

Kritisk sårbarhet i Fortinet FortiWeb

En kritisk sårbarhet har upptäckts i Fortinets produkt FortiWeb. Sårbarheten, CVE-2025-64446, har fått en CVSS-klassning på 9.8 av NIST. [1]

Ett framgångsrikt utnyttjande av sårbarheten innebär att en oautentiserad angripare får åtkomst att exekvera kommandon med administratörsbehörighet och därmed fullständig åtkomst till FortiWeb-instansen. [2]

Det finns indikationer på att sårbarheten har utnyttjats sedan början på oktober. CISA har lagt till CVE-2025-64446 i sin förteckning över aktivt utnyttjade sårbarheter, Known Exploited Vulnerabilities (KEV). [3]

Uppdatering 2025-11-26

Ytterligare en Fortinet FortiWeb-sårbarhet, CVE-2025-58034, har lagts till i CISA:s Known Exploited Vulnerabilities (KEV). [3] CVE-2025-58034 är en OS Command Injection-sårbarhet som kan möjliggöra att en autentiserad hotaktör exekverar skadlig kod i underliggande system genom ett modifierat HTTP-anrop eller CLI-kommando. [6]

CISA pekar på att hotaktörer kan uttnyttja CVE-2025-64446 som initial ingångsvektor och sedan fortsätta angreppet genom att utnyttja CVE-2025-58034 för att eskalera privilegier i angripna system. Utnyttjande av dessa två sårbarheter i sekvens skulle kunna leda till oautentiserad fjärrexekvering av skadlig kod i sårbara FortiWeb-installationer. [7]

Rekommendationer

CERT-SE rekommenderar att följa leverantörens rekommendationer samt att undersöka sina system om man haft en sårbar FortiWeb-instans exponerad externt under den tidsperiod som det funnits indikationer på aktivt utnyttjande. [4, 5]

Källor

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-64446
[2] https://www.cvedetails.com/cve/CVE-2025-64446/
[3] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[4] https://labs.watchtowr.com/when-the-impersonation-function-gets-used-to-impersonate-users-fortinet-fortiweb-auth-bypass/
[5] https://fortiguard.fortinet.com/psirt/FG-IR-25-910
[6] https://www.cve.org/CVERecord?id=CVE-2025-58034
[7] https://www.cisa.gov/news-events/alerts/2025/11/14/fortinet-releases-security-advisory-relative-path-traversal-vulnerability-affecting-fortiweb#Note1

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2025-12-05 13:15

CERT-SE:s veckobrev v.49

Vi vill uppmärksamma att CERT-SE tidigare idag har skickat ut ett blixtmeddelande rörande den kritiska sårbarheten...

Veckobrev
2025-12-05 12:30 Uppdaterad Blixtmeddelande

Kritisk sårbarhet i React Server Components (RSC)

En kritisk sårbarhet har identifierats i React Server Components som påverkar React 19, bland annat Next.js.[1]...

Blixtmeddelande Sårbarhet React Next.js
2025-11-28 13:45

CERT-SE:s veckobrev v.48

I veckans läsning hittar du blandade nyheter om olika cybersäkerhetsinitiativ i Sverige, bland annat information om...

Veckobrev
2025-11-26 12:45 Uppdaterad

Kritisk sårbarhet i Fortinet FortiWeb

En kritisk sårbarhet har upptäckts i Fortinets produkt FortiWeb. Sårbarheten, CVE-2025-64446, har fått en CVSS-klassning på...

Sårbarhet Fortinet Fortiweb
2025-11-25 13:37

Ny version av självreplikerande skadlig kod sprider sig via NPM

CERT-SE har tidigare informerat om den självreplikerande, skadliga koden “Shai-Hulud malware”. [1] Det rapporteras nu om...

Sårbarhet NPM

Nyheter