Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14466

Опубликовано: 18 нояб. 2025
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Средний

Описание

Уязвимость межсетевого экрана веб-приложений FortiWeb связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных HTTP-запросов

Вендор

Fortinet Inc.

Наименование ПО

FortiWeb

Версия ПО

от 7.2.0 до 7.2.12 (FortiWeb)
от 8.0.0 до 8.0.2 (FortiWeb)
от 7.0.0 до 7.0.12 (FortiWeb)
от 7.6.0 до 7.6.6 (FortiWeb)
от 7.4.0 до 7.4.11 (FortiWeb)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,2)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа из внешних сетей (Интернет);
- сегментирование сети для ограничения доступа к уязвимому устройству;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.
Использование рекомендаций производителя:
https://fortiguard.fortinet.com/psirt/FG-IR-25-513

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.53215
Средний

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-58034

CVSS3: 7.2
nvd
около 1 месяца назад

An Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability [CWE-78] vulnerability in Fortinet FortiWeb 8.0.0 through 8.0.1, FortiWeb 7.6.0 through 7.6.5, FortiWeb 7.4.0 through 7.4.10, FortiWeb 7.2.0 through 7.2.11, FortiWeb 7.0.0 through 7.0.11 may allow an authenticated attacker to execute unauthorized code on the underlying system via crafted HTTP requests or CLI commands.

github логотип

GHSA-47cr-8w72-ggmc

CVSS3: 7.2
github
около 1 месяца назад

An Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability [CWE-78] in Fortinet FortiWeb 8.0.0 through 8.0.1, FortiWeb 7.6.0 through 7.6.5, FortiWeb 7.4.0 through 7.4.10, FortiWeb 7.2.0 through 7.2.11, FortiWeb 7.0.0 through 7.0.11 may allow an authenticated attacker to execute unauthorized code on the underlying system via crafted HTTP requests or CLI commands.

EPSS

Процентиль: 98%
0.53215
Средний

7.2 High

CVSS3

9 Critical

CVSS2