Fortinet製品に関するお知らせ
25.11.27
CVE-2025-64446の影響について
- FortiWeb
【CVE番号】
CVE-2025-64446
【重要度】
Critical
【対象製品/バージョン】
FortiWeb
ver.8.0.0 ~ 8.0.1
ver.7.6.0 ~ 7.6.4
ver.7.4.0 ~ 7.4.9
ver.7.2.0 ~ 7.2.11
ver.7.0.0 ~ 7.0.11
【影響】
FortiWeb の相対パストラバーサルの脆弱性により、認証されていない攻撃者が細工したHTTPまたは
HTTPSリクエストを介してシステム上で管理コマンドを実行できる可能性があります。
フォーティネットは、これが実際に悪用されているのを観察しています。
FortiAppSec Cloud はこの脆弱性の影響を受けません。
【対策】
以下のバージョンへのアップグレードを実施してください。
アップグレード後、予期しない変更や不正な管理者アカウントの追加がないか、
構成を確認し、ログを確認することをお勧めします。
FortiWeb
ver.8.0.2 以降
ver.7.6.5 以降
ver.7.4.10 以降
ver.7.2.12 以降
ver.7.0.12 以降
■ワークアラウンド
インターネットに接続された管理インターフェースでは、HTTPまたはHTTPSを無効にしてください。
Fortinetはアップグレードが実行可能になるまでこの対策を推奨しています。
ベストプラクティスに従って、HTTP/HTTPS管理インターフェースが内部からのみアクセス可能にすると
リスクは大幅に軽減されます。
本内容は2025年11月26日9:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Path confusion vulnerability in GUI
https://www.fortiguard.com/psirt/FG-IR-25-910
CVE-2025-64446
【重要度】
Critical
【対象製品/バージョン】
FortiWeb
ver.8.0.0 ~ 8.0.1
ver.7.6.0 ~ 7.6.4
ver.7.4.0 ~ 7.4.9
ver.7.2.0 ~ 7.2.11
ver.7.0.0 ~ 7.0.11
【影響】
FortiWeb の相対パストラバーサルの脆弱性により、認証されていない攻撃者が細工したHTTPまたは
HTTPSリクエストを介してシステム上で管理コマンドを実行できる可能性があります。
フォーティネットは、これが実際に悪用されているのを観察しています。
FortiAppSec Cloud はこの脆弱性の影響を受けません。
【対策】
以下のバージョンへのアップグレードを実施してください。
アップグレード後、予期しない変更や不正な管理者アカウントの追加がないか、
構成を確認し、ログを確認することをお勧めします。
FortiWeb
ver.8.0.2 以降
ver.7.6.5 以降
ver.7.4.10 以降
ver.7.2.12 以降
ver.7.0.12 以降
■ワークアラウンド
インターネットに接続された管理インターフェースでは、HTTPまたはHTTPSを無効にしてください。
Fortinetはアップグレードが実行可能になるまでこの対策を推奨しています。
ベストプラクティスに従って、HTTP/HTTPS管理インターフェースが内部からのみアクセス可能にすると
リスクは大幅に軽減されます。
本内容は2025年11月26日9:00時点の内容です。最新の情報は以下のリンク先にてご確認ください。
■Path confusion vulnerability in GUI
https://www.fortiguard.com/psirt/FG-IR-25-910
©Copyright Zuken NetWave Inc. All right reserved.
