11月18日,資安業者Fortinet發布公告,指出應用程式防火牆(WAF)系統FortiWeb存在命令注入漏洞,且已有實際利用的情形。由於該公司不到一週前才公布重大漏洞CVE-2025-64446(CVSS風險為9.1分),且當時有多家資安業者指出在一個月前就出現攻擊行動,所以,這次新漏洞的公告也格外受到關注。
這個最新揭露的FortiWeb漏洞,被登記為CVE-2025-58034,是作業系統層級的命令注入漏洞,起因是特殊元件出現不當中和(neutralization)的現象,通過身分驗證的攻擊者可利用特製的HTTP請求,或是下達CLI命令,於作業系統底層執行未經授權的程式碼,CVSS風險評為6.7分(但該漏洞在美國國家漏洞資料庫登記為7.2分),Fortinet發布8.0.2版、7.6.6版、7.4.11版、7.2.12版,以及7.0.12版FortiWeb修補,美國網路安全暨基礎設施安全局(CISA)也在Fortinet發布公告的同一天,將這個漏洞列入已遭利用的漏洞列表(KEV),限期聯邦機構在一週內完成修補。
針對漏洞如何遭到利用,Fortinet並未在公告說明,不過,通報此事的資安業者趨勢科技向資安新聞網站Bleeping Computer透露,他們偵測到約2千次漏洞利用攻擊活動。
攻擊者鎖定FortiWeb漏洞下手的情況,不只是這一週的兩次揭露,幾個月前也出現。7月9日,Fortinet修補重大層級的SQL注入漏洞CVE-2025-25257(CVSS風險評為9.6),兩天後Shadowserver基金會偵測到漏洞利用活動,攻擊者試圖以此在FortiWeb植入Web Shell。
熱門新聞
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31
2025-12-31
2026-01-02