A Fortinet megerősítette, hogy javította azt a kritikus, nulladik napi sérülékenységet, amelyet aktívan kihasználtak a FortiWeb webalkalmazás-tűzfal (web application firewall) bizonyos verziói ellen. A sebezhetőséget azt követően javították, hogy október elején több jelentés is érkezett arról, hogy nem hitelesített támadók egy ismeretlen path traversal sérülékenységet kihasználva képesek új admin fiókokat létrehozni az online elérhető FortiWeb-eszközökön.
A támadásokat elsőként a Defused nevű kiberfenyegetés-elemző cég azonosította. A vállalat közzétette a proof-of-concept exploitot és arról számolt be, hogy a támadók egy korábban nem ismert, feltehetően a CVE-2022-40684 azonosítón nyomon követett sérülékenységet használják ki.
A watchTowr Labs kutatói szintén reprodukálták a sebezhetőséget és egy „FortiWeb Authentication Bypass Artifact Generator” eszközt is kiadtak, amely segíti a védelmi oldalon a sérülékeny rendszerek azonosítását.
A Rapid7 tájékoztatása szerint a sérülékenység a FortiWeb 8.0.1-es és annál korábbi verzióit érinti. A cég megerősítette, hogy a nyilvánosan elérhető exploit már nem működik a 8.0.2-es verzióra történő frissítést követően.
A Fortinet hivatalosan is megerősítette, hogy a támadók egy path confusion típusú sérülékenységet (CVE-2025-64446) használnak ki a FortiWeb grafikus felületének egyik komponensében. A sebezhetőség lehetővé teszi, hogy nem hitelesített támadók előre elkészített HTTP- vagy HTTPS kérésekkel rendszergazdai jogosultságokkal futtassanak parancsokat a nem frissített rendszereken.
A CISA múlt pénteken a CVE-2025-64446 sérülékenységet felvette az aktívan kihasznált sérülékenységek katalógusába.
Azoknak a rendszergazdáknak, akik azonnal nem tudnak frissíteni a 8.0.2-es verzióra, azt javasolják, hogy tiltsák le a HTTP/HTTPS-hozzáférést minden internet felől elérhető menedzsment felületen és korlátozzák az elérést kizárólag megbízható hálózatokra.
A Fortinet továbbá arra kéri az ügyfeleket, hogy ellenőrizzék konfigurációjukat és vizsgálják át a naplóállományokat új, jogosulatlan admin fiókokra vagy más váratlan módosításokra utaló jelek után kutatva.
Augusztusban a Fortinet egy másik kritikus parancs-injektálási sérülékenységet (CVE-2025-25256) javított a FortiSIEM-ben, mindössze egy nappal azután, hogy a GreyNoise jelentős brute-force aktivitást észlelt a Fortinet SSL-VPN-ek ellen.