Fortinetは火曜日、最新のFortiWebアップデートで解決されたゼロデイを含む17件の脆弱性に対するパッチを発表しました。
CVE-2025-58034(CVSSスコア6.7)として追跡されているこのバグは、認証済みの攻撃者が細工されたHTTPリクエストやCLIコマンドを通じて基盤となるシステム上で任意のコードを実行できるOSコマンドインジェクションの問題と説明されています。
「Fortinetは、この脆弱性が実際に悪用されていることを確認しています」とベンダーはアドバイザリで述べていますが、攻撃の詳細は明らかにしていません。
これは、11月14日にCVE-2025-64446(CVSSスコア9.1)という重大なパストラバーサル問題が攻撃の標的となっていたことを同社が確認した後、1週間以内に公表された2件目のFortiWebゼロデイです。
Fortinetは、FortiWebバージョン8.0.2、7.6.6、7.4.11、7.2.12、および7.0.12で両方の悪用された脆弱性にパッチを適用しました。ユーザーはできるだけ早く導入環境をアップデートする必要があります。
2件目のゼロデイに関するFortinetのアドバイザリと同時に、米国サイバーセキュリティ庁(CISA)はこのセキュリティ欠陥を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対して1週間以内のパッチ適用を促しました。
CISAが設定した短いパッチ適用期間は、悪用されたFortiWebのバグの重要性を強調しています。運用指令(BOD)22-01によれば、連邦機関は通常、KEVに新たに追加された脆弱性を3週間以内に解決する必要があります。
Fortinetが火曜日に公表した残りの16件の脆弱性のうち、3件はFortiClient Windows(CVE-2025-47761およびCVE-2025-46373)とFortiVoice(CVE-2025-58692)における高深刻度の欠陥であり、任意のコードやコマンドの実行につながる可能性があります。
同社はまた、FortiExtender、FortiMail、FortiPAM、FortiSandbox、FortiClientWindows、FortiADC、FortiOS、FortiSwitchManager、FortiProxy、およびFortiWebにおける中・低深刻度のバグにも対応しました。
CVE-2025-58034を除き、Fortinetはこれらのセキュリティ欠陥が実際に悪用されたという言及はしていません。追加情報は同社のセキュリティアドバイザリページで確認できます。
翻訳元: https://www.securityweek.com/fortinet-discloses-second-exploited-fortiweb-zero-day-in-a-week/
