FortinetとIvantiは、それぞれ2025年8月のPatch Tuesdayアップデートで修正された脆弱性について顧客に通知するため、新たなセキュリティアドバイザリを公開しました。
Fortinetは、14件の新しいアドバイザリを公開しました。最も重要なものは重大な深刻度に分類されており、CVE-2025-25256について説明しています。これは、特別に細工されたCLIリクエストを通じて、認証されていないリモート攻撃者が任意のコードやコマンドを実行できるFortiSIEMの脆弱性です。
Fortinetは、この脆弱性の実用的なエクスプロイトが実際に確認されたと警告しています。同社の表現によれば、悪意のある目的で悪用されたわけではありませんが、PoC(概念実証)エクスプロイトが公開されています。
2件のアドバイザリが高い深刻度に分類されています。そのうちの1つは、FortiWebに影響するCVE-2025-52970という認証バイパスについて説明しています。これにより、リモート攻撃者が特別に細工されたリクエストを利用して、既存の任意のユーザーとしてログインすることが可能になります。
2つ目の高深刻度の問題はCVE-2024-26009で、FortiOS、FortiPAM、FortyProxy、FortiSwitchManagerに影響します。
Fortinetによれば、この脆弱性は「FortiManagerによって管理されているデバイスで、攻撃者がFortiManagerのシリアル番号を知っている場合、認証されていない攻撃者が細工されたFGFMリクエストを通じて管理デバイスの制御を奪うことができる」とのことです。
同社は、FortiManager、FortiWeb、FortiOS、FortiProxy、FortiPAM、FortiADC、FortiSOAR、FortiCamera、FortiMail、FortiNDR、FortiRecorder、FortiVoiceの中程度の深刻度の脆弱性も修正しました。これらのセキュリティホールの多くは、任意のコード実行を許す可能性があります。
Ivantiの2025年8月Patch Tuesdayアップデートは、3つのアドバイザリで説明されています。1つは、Ivanti Avalancheにおける2件の高深刻度の認証済みリモートコード実行の脆弱性をカバーしています。
広告。スクロールして続きをお読みください。
2つ目のアドバイザリは、Ivanti Virtual Application Delivery Control(vADC)における中程度の深刻度の問題について説明しています。これにより、リモートの認証済み攻撃者が管理者パスワードをリセットし、標的アカウントを乗っ取ることが可能になります。
3つ目のアドバイザリは、Ivanti Connect Secure、Policy Secure、ZTA Gateways、およびNeurons for Secure Accessに関するものです。これらの製品は、リモートの未認証DoS攻撃に悪用可能な2件の高深刻度の脆弱性と、DoS攻撃および任意ファイルの読み取りに利用可能な2件の中程度の脆弱性の影響を受けます。
Ivantiは、これらの脆弱性を悪用した攻撃は確認していないと述べています。
しかし、IvantiおよびFortinetの両方の顧客は、脅威アクターが自社製品で発見された脆弱性や脆弱性を悪用することが珍しくないため、できるだけ早く利用可能なパッチを適用することが重要です。
翻訳元: https://www.securityweek.com/fortinet-ivanti-release-august-2025-security-patches/