アプリ: FortiWeb (WAF)
【要点】 ◎Fortinet製品にSAML署名検証不備(CVE-2025-59718/59719)が発生し認証回避が可能に。多数製品が影響し、SSOが意図せず有効な場合も。修正版適用かSSOの一時無効化が推奨される。 (Security NEXT)
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/07/09 2025/02/05 CVE-2025-25257 NVD Fortinet 9.8(FortiNet) CWE-89 SQLインジェクション 2025/07/18 2025/11/14 2025/11/04 CVE-2025-64446 NVD Fortinet 9.8(Forti…
【要点】 ◎FortiWebにOSコマンドインジェクション脆弱性(CVE-2025-58034)が判明し悪用も確認。今月2件目の別脆弱性とは異なる。修正版(8.0.2等)への更新が必須。
【訳】フォーティネット、攻撃で悪用されたFortiWebのゼロデイ脆弱性に対するサイレントパッチを承認 【要点】 ◎FortiWebに深刻なゼロデイ(CVE-2025-64446)が悪用され、Fortinetは8.0.2で静かに修正。未認証で管理操作が可能になる欠陥で、CISAは連邦機関…
【ニュース】 ◆「SharePoint」「FortiWeb」の脆弱性悪用に警告 - 即日対応の緊急要請も (Security NEXT, 2025/07/22) https://www.security-next.com/172542
【訳】Fortinet FortiWebに対する新たな攻撃、公開済みRCEエクスプロイトに関連の可能性 【要約】 Fortinetは、FortiWeb製品に対する一連の不正アクセス事例を確認し、2024年に報告されたRCE脆弱性(CVE-2024-21762)を悪用した可能性があると警告している。…
【ニュース】 ◆「FortiWeb」の深刻な脆弱性、詳細やPoCが公開 (Security NEXT, 2025/07/15) https://www.security-next.com/172342
【訳】事前認証SQLインジェクションによるリモートコード実行(RCE) - Fortinet FortiWeb Fabric Connector(CVE-2025-25257 【要約】 Fortinet FortiWeb Fabric ConnectorのCVE-2025-25257は、認証前のSQLインジェクション脆弱性で、攻撃者が細工したリク…
【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/07/09 2025/02/05 CVE-2025-25257 NVD Fortinet 9.8(FortiNet) CWE-89 SQLインジェクション 2025/07/18 【ニュース】 ◆「FortiWeb」に認証不要でコマンド実行が可能と…
