CVE-2025-64446
Fortinet FortiWeb
2025-11-14
Fortinet FortiWeb contains a relative path traversal vulnerability that may allow an unauthenticated attacker to execute administrative commands on the system via crafted HTTP or HTTPS requests.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-64446 в Fortinet FortiWeb относится к классу обхода каталога (Relative Path Traversal). Она возникает из-за некорректной обработки пользовательского ввода в путях файлов. Неаутентифицированный злоумышленник может отправить специально сформированные HTTP или HTTPS запросы к интерфейсу устройства. Это позволяет выйти за пределы разрешенной веб-директории и получить доступ к системным файлам. В результате атакующий получает возможность выполнять административные команды на уровне операционной системы, что ведет к полной компрометации устройства (Remote Code Execution / Privilege Escalation).
Как исправить
Единственным гарантированным способом устранения уязвимости является обновление прошивки FortiWeb до патч-версии, указанной в официальном бюллетене безопасности FortiGuard. Перед началом обновления обязательно сделайте резервную копию текущей конфигурации.
Создание резервной копии конфигурации на внешний FTP-сервер:
execute backup config ftp backup_fortiweb.conf 192.168.10.50 ftp_user ftp_password
Загрузка и установка исправленной версии прошивки с TFTP-сервера:
execute restore image tftp FWB_Patch_Version.out 192.168.10.50
После автоматической перезагрузки устройства проверьте успешность установки обновления:
get system status
Временные меры
Если оперативное обновление прошивки невозможно, необходимо срочно изолировать административные интерфейсы устройства для снижения поверхности атаки.
Ограничьте доступ к учетным записям администраторов с помощью функции Trusted Hosts, разрешив подключения только из защищенной сети управления (Management VLAN):
config system admin
edit admin
set trusthost1 10.10.10.0 255.255.255.0
end
Отключите доступ по HTTP и оставьте только защищенные протоколы (HTTPS, SSH) на интерфейсах, используемых для управления:
config system interface
edit port1
set allowaccess https ssh
end
Дополнительные шаги по защите: * Убедитесь, что порты управления FortiWeb (по умолчанию 80, 443, 22) не опубликованы в публичный интернет. * Настройте правила на вышестоящем межсетевом экране (Edge Firewall) для блокировки любых попыток подключения к интерфейсам управления FortiWeb из недоверенных сетей. * Настройте пересылку системных логов на централизованный SIEM-сервер для мониторинга аномальных HTTP/HTTPS запросов к административному интерфейсу.