Overview
A Fortinet divulgou em 14 de novembro de 2025 a vulnerabilidade crítica CVE-2025-64446 (CVSS 9.1) que afeta o FortiWeb, seu firewall de aplicações web. A falha consiste em uma vulnerabilidade de path traversal relativo (CWE-23) que permite que atacantes não autenticados executem comandos administrativos no sistema através de requisições HTTP ou HTTPS especialmente manipuladas. A Fortinet confirmou que a vulnerabilidade está sendo ativamente explorada em ambiente real, enquanto pesquisadores de segurança identificaram atividade maliciosa desde o início de outubro de 2025.
A exploração da vulnerabilidade permite que atacantes criem contas administrativas nos dispositivos FortiWeb comprometidos, obtendo controle total sobre os sistemas afetados. Pesquisadores de segurança da watchTowr identificaram exploração indiscriminada da falha e conseguiram reproduzir o ataque, desenvolvendo um proof-of-concept funcional. A vulnerabilidade combina duas falhas distintas que trabalham em conjunto para contornar os controles de autenticação: primeiro, explora uma fraqueza de path traversal na API do FortiWeb para acessar o executável CGI subjacente (fwbcgi); em seguida, permite a execução de comandos administrativos sem necessidade de credenciais válidas. Segundo a Rapid7, tentativas de exploração foram observadas desde pelo menos o início de outubro, e um exploit foi publicado para venda em fóruns de black hat em 6 de novembro de 2025.
A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a CVE-2025-64446 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 14 de novembro, estabelecendo prazo de remediação até 21 de novembro de 2025 para agências federais. Segundo a watchTowr, aproximadamente 80.000 dispositivos FortiWeb estão conectados à internet, representando uma superfície de ataque significativa. A exploração ativa e indiscriminada, combinada com a criticidade da vulnerabilidade e a ampla base de dispositivos expostos, torna este incidente uma ameaça de alta prioridade para organizações que utilizam FortiWeb.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2025-64446 | Crítica | FortiWeb versões 8.0.0 a 8.0.1, FortiWeb versões 7.6.0 a 7.6.4, FortiWeb versões 7.4.0 a 7.4.9, FortiWeb versões 7.2.0 a 7.2.11, FortiWeb versões 7.0.0 a 7.0.11 |
Recomendações
A Fortinet e a CISA recomendam as seguintes ações imediatas para organizações que utilizam FortiWeb:
- Atualizar imediatamente todos os dispositivos FortiWeb para as versões corrigidas: FortiWeb 8.0.2 ou superior, FortiWeb 7.6.5 ou superior, FortiWeb 7.4.10 ou superior, FortiWeb 7.2.12 ou superior, ou FortiWeb 7.0.12 ou superior
- Como mitigação temporária até que a atualização possa ser realizada, desabilitar o acesso HTTP e HTTPS para interfaces voltadas para a internet (esta medida reduz significativamente o risco, mas não elimina completamente a vulnerabilidade)
- Após a aplicação das atualizações, revisar minuciosamente as configurações do sistema em busca de modificações inesperadas ou não autorizadas
- Examinar logs do sistema para identificar requisições POST para caminhos como
/api/v2.0/cmd/system/admin?/../../../../../cgi-bin/fwbcgiou padrões similares de path traversal originados de endereços IP não autorizados - Verificar a existência de contas administrativas desconhecidas criadas desde o início de outubro de 2025, contas locais com perfis de acesso prof_admin, ou contas com faixas de trust host configuradas como 0.0.0.0/0 ou ::/0
- Implementar como prática permanente a limitação do acesso às interfaces de gerenciamento HTTP/HTTPS apenas para redes internas e confiáveis
- Caso sejam identificados sinais de comprometimento, executar resposta a incidentes completa, incluindo análise forense, rotação de credenciais e revisão de todas as configurações de segurança
Fontes
- Fortinet FortiGuard PSIRT Advisory - FG-IR-25-910: Path confusion vulnerability in GUI
- CISA Alert - Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products
- watchTowr Labs - When The Impersonation Function Gets Used To Impersonate Users (Fortinet FortiWeb Auth. Bypass CVE-2025-64446)
- The Register - Fortinet finally cops to critical bug under active exploit
- SecurityWeek - Fortinet Confirms Active Exploitation of Critical FortiWeb Vulnerability
- Qualys Blog - Unauthenticated Authentication Bypass in Fortinet FortiWeb (CVE-2025-64446) Exploited in the Wild
Overview
On November 14, 2025, Fortinet disclosed the critical vulnerability CVE-2025-64446 (CVSS 9.1) affecting FortiWeb, its web application firewall. The flaw is a relative path traversal vulnerability (CWE-23) that allows unauthenticated attackers to execute administrative commands on the system through specially crafted HTTP or HTTPS requests. Fortinet confirmed that the vulnerability is being actively exploited in the wild, while security researchers have identified malicious activity dating back to early October 2025.
Exploitation of the vulnerability allows attackers to create administrative accounts on compromised FortiWeb devices, gaining complete control over affected systems. Security researchers from watchTowr identified indiscriminate exploitation of the flaw and successfully reproduced the attack, developing a functional proof-of-concept. The vulnerability combines two distinct flaws that work together to bypass authentication controls: first, it exploits a path traversal weakness in the FortiWeb API to access the underlying CGI executable (fwbcgi); then, it allows the execution of administrative commands without requiring valid credentials. According to Rapid7, exploitation attempts have been observed since at least early October, and an exploit was published for sale on black hat forums on November 6, 2025.
CISA (U.S. Cybersecurity and Infrastructure Security Agency) added CVE-2025-64446 to its Known Exploited Vulnerabilities (KEV) catalog on November 14, establishing a remediation deadline of November 21, 2025 for federal agencies. According to watchTowr, approximately 80,000 FortiWeb devices are connected to the internet, representing a significant attack surface. The active and indiscriminate exploitation, combined with the criticality of the vulnerability and the large base of exposed devices, makes this incident a high-priority threat for organizations using FortiWeb.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2025-64446 | Critical | FortiWeb versions 8.0.0 through 8.0.1, FortiWeb versions 7.6.0 through 7.6.4, FortiWeb versions 7.4.0 through 7.4.9, FortiWeb versions 7.2.0 through 7.2.11, FortiWeb versions 7.0.0 through 7.0.11 |
Recommendations
Fortinet and CISA recommend the following immediate actions for organizations using FortiWeb:
- Immediately update all FortiWeb devices to the patched versions: FortiWeb 8.0.2 or above, FortiWeb 7.6.5 or above, FortiWeb 7.4.10 or above, FortiWeb 7.2.12 or above, or FortiWeb 7.0.12 or above
- As a temporary mitigation until the update can be performed, disable HTTP and HTTPS access for internet-facing interfaces (this measure significantly reduces risk but does not completely eliminate the vulnerability)
- After applying updates, thoroughly review system configurations for unexpected or unauthorized modifications
- Examine system logs to identify POST requests to paths such as
/api/v2.0/cmd/system/admin?/../../../../../cgi-bin/fwbcgior similar path traversal patterns originating from unauthorized IP addresses - Verify the existence of unknown administrative accounts created since early October 2025, local accounts with prof_admin access profiles, or accounts with trust host ranges configured as 0.0.0.0/0 or ::/0
- Implement as a permanent practice the limitation of access to HTTP/HTTPS management interfaces to internal and trusted networks only
- If signs of compromise are identified, execute complete incident response, including forensic analysis, credential rotation, and review of all security configurations
Sources
- Fortinet FortiGuard PSIRT Advisory - FG-IR-25-910: Path confusion vulnerability in GUI
- CISA Alert - Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products
- watchTowr Labs - When The Impersonation Function Gets Used To Impersonate Users (Fortinet FortiWeb Auth. Bypass CVE-2025-64446)
- The Register - Fortinet finally cops to critical bug under active exploit
- SecurityWeek - Fortinet Confirms Active Exploitation of Critical FortiWeb Vulnerability
- Qualys Blog - Unauthenticated Authentication Bypass in Fortinet FortiWeb (CVE-2025-64446) Exploited in the Wild
Overview
Fortinet divulgó el 14 de noviembre de 2025 la vulnerabilidad crítica CVE-2025-64446 (CVSS 9.1) que afecta a FortiWeb, su firewall de aplicaciones web. La falla consiste en una vulnerabilidad de path traversal relativo (CWE-23) que permite que atacantes no autenticados ejecuten comandos administrativos en el sistema a través de solicitudes HTTP o HTTPS especialmente manipuladas. Fortinet confirmó que la vulnerabilidad está siendo activamente explotada en ambiente real, mientras que investigadores de seguridad han identificado actividad maliciosa desde principios de octubre de 2025.
La explotación de la vulnerabilidad permite que atacantes creen cuentas administrativas en los dispositivos FortiWeb comprometidos, obteniendo control total sobre los sistemas afectados. Investigadores de seguridad de watchTowr identificaron explotación indiscriminada de la falla y lograron reproducir el ataque, desarrollando un proof-of-concept funcional. La vulnerabilidad combina dos fallas distintas que trabajan en conjunto para eludir los controles de autenticación: primero, explota una debilidad de path traversal en la API de FortiWeb para acceder al ejecutable CGI subyacente (fwbcgi); luego, permite la ejecución de comandos administrativos sin necesidad de credenciales válidas. Según Rapid7, se observaron intentos de explotación desde al menos principios de octubre, y un exploit fue publicado para la venta en foros de black hat el 6 de noviembre de 2025.
CISA (Agencia de Seguridad Cibernética e Infraestructura de EE.UU.) añadió CVE-2025-64446 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) el 14 de noviembre, estableciendo un plazo de remediación hasta el 21 de noviembre de 2025 para agencias federales. Según watchTowr, aproximadamente 80.000 dispositivos FortiWeb están conectados a internet, representando una superficie de ataque significativa. La explotación activa e indiscriminada, combinada con la criticidad de la vulnerabilidad y la amplia base de dispositivos expuestos, convierte este incidente en una amenaza de alta prioridad para organizaciones que utilizan FortiWeb.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2025-64446 | Crítica | FortiWeb versiones 8.0.0 a 8.0.1, FortiWeb versiones 7.6.0 a 7.6.4, FortiWeb versiones 7.4.0 a 7.4.9, FortiWeb versiones 7.2.0 a 7.2.11, FortiWeb versiones 7.0.0 a 7.0.11 |
Recomendaciones
Fortinet y CISA recomiendan las siguientes acciones inmediatas para organizaciones que utilizan FortiWeb:
- Actualizar inmediatamente todos los dispositivos FortiWeb a las versiones corregidas: FortiWeb 8.0.2 o superior, FortiWeb 7.6.5 o superior, FortiWeb 7.4.10 o superior, FortiWeb 7.2.12 o superior, o FortiWeb 7.0.12 o superior
- Como mitigación temporal hasta que pueda realizarse la actualización, deshabilitar el acceso HTTP y HTTPS para interfaces orientadas a internet (esta medida reduce significativamente el riesgo, pero no elimina completamente la vulnerabilidad)
- Después de aplicar las actualizaciones, revisar minuciosamente las configuraciones del sistema en busca de modificaciones inesperadas o no autorizadas
- Examinar los registros del sistema para identificar solicitudes POST a rutas como
/api/v2.0/cmd/system/admin?/../../../../../cgi-bin/fwbcgio patrones similares de path traversal originados desde direcciones IP no autorizadas - Verificar la existencia de cuentas administrativas desconocidas creadas desde principios de octubre de 2025, cuentas locales con perfiles de acceso prof_admin, o cuentas con rangos de trust host configurados como 0.0.0.0/0 o ::/0
- Implementar como práctica permanente la limitación del acceso a las interfaces de gestión HTTP/HTTPS solo para redes internas y confiables
- Si se identifican señales de compromiso, ejecutar respuesta a incidentes completa, incluyendo análisis forense, rotación de credenciales y revisión de todas las configuraciones de seguridad
Fuentes
- Fortinet FortiGuard PSIRT Advisory - FG-IR-25-910: Path confusion vulnerability in GUI
- CISA Alert - Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products
- watchTowr Labs - When The Impersonation Function Gets Used To Impersonate Users (Fortinet FortiWeb Auth. Bypass CVE-2025-64446)
- The Register - Fortinet finally cops to critical bug under active exploit
- SecurityWeek - Fortinet Confirms Active Exploitation of Critical FortiWeb Vulnerability
- Qualys Blog - Unauthenticated Authentication Bypass in Fortinet FortiWeb (CVE-2025-64446) Exploited in the Wild
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos