基本信息
漏洞编号: CVE-2025-64446
危险等级: 高危
影响版本: Fortinet FortiWeb 7.0.0–7.0.11、7.2.0–7.2.11、7.4.0–7.4.9、7.6.0–7.6.4、8.0.0–8.0.1
受影响组件: Web 管理接口(认证与会话校验逻辑)
验证状态: POC 已公开
漏洞详情
Fortinet FortiWeb 存在身份认证绕过漏洞(CVE-2025-64446)。攻击者可通过构造特定请求绕过登录校验,在未认证的情况下创建高权限(管理员)账户,进而获得对设备的完整控制权限。该漏洞一旦被利用,常与已知的后台命令注入漏洞(例如 CVE-2025-58034)链式结合,导致远程命令执行与设备接管。由于 FortiWeb 常部署在关键业务入口(WAF/反向代理),成功攻击将带来高影响面与高业务中断风险。
影响范围
影响版本
7.0.0 ≤ FortiWeb < 7.0.12
7.2.0 ≤ FortiWeb < 7.2.12
7.4.0 ≤ FortiWeb < 7.4.10
7.6.0 ≤ FortiWeb < 7.6.5
8.0.0 ≤ FortiWeb < 8.0.2
安全版本
- FortiWeb 7.0.12
- FortiWeb 7.2.12
- FortiWeb 7.4.10
- FortiWeb 7.6.5
- FortiWeb 8.0.2
验证方法
- 版本核查:在设备管理界面或 CLI 中查看当前 FortiWeb 版本,确认是否落入影响范围区间。
- 账号与审计检查:审计系统管理员列表与最近账户变更日志,排查是否存在异常新增的管理员账户或来源 IP 异常的变更操作。
- 访问日志回溯:检查管理接口访问日志与WAF事件日志,关注未登录状态下触发的管理端点访问、异常重定向/错误码、可疑参数拼接的请求。
- 边界暴露评估:确认管理面是否对公网开放;若开放,优先执行紧急缓解(ACL/网段限制/临时下线),再进行版本加固。
修复方案
方案一:版本升级(推荐)
立即升级至官方安全版本:7.0.12、7.2.12、7.4.10、7.6.5、或 8.0.2(或更高)。升级前完成配置备份,升级后复核管理员账户完整性并更改所有管理员口令/令牌。
方案二:临时缓解(在无法立即升级时)
- 限制管理面暴露:通过管理口令策略、源地址限制、VPN/堡垒机,仅允许可信网段访问管理界面;如有条件,关闭互联网直连管理入口。
- 启用多因素认证(若适用):即使出现绕过,MFA 可增加实际接管难度(但不应替代升级)。
- 加强审计与告警:对管理员创建、权限变更、策略导入等高危事件设置实时告警;临时提高日志级别并集中化存储。
- 入侵排查:检查是否已存在异常管理员、异常策略或计划任务;结合 CVE-2025-58034 风险,重点排查是否有可疑命令执行或反弹连接。