2025-11-14
Fortinet FortiWebの脆弱性CVE-2025-64446が悪用されています
Fortinet FortiWebにおけるCVE-2025-64446という重大なゼロデイ脆弱性が、悪用されていることが確認されています。この脆弱性は、認証なしに管理者アカウントを作成できるパス・トラバーサルの問題であり、影響を受けるデバイスに対して完全な管理者アクセスを許可します。攻撃者は、特定のHTTP POSTリクエストを送信することでこの脆弱性を悪用し、FortiWeb 8.0.1以前のバージョンに影響を及ぼします。現在、Fortinetはこの脆弱性に関する公式なCVEやアドバイザリーを発表していませんが、早急な対策が求められています。
メトリクス
このニュースのスケール度合い
5.5
/10
インパクト
8.0
/10
予想外またはユニーク度
5.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
9.5
/10
このニュースで行動が起きる/起こすべき度合い
9.0
/10
主なポイント
- ✓ CVE-2025-64446は、Fortinet FortiWebのパス・トラバーサル脆弱性であり、悪用が確認されています。
- ✓ 攻撃者は、管理者アカウントを作成するためのHTTP POSTリクエストを送信し、完全な管理者アクセスを得ることができます。
社会的影響
- ! この脆弱性の悪用により、企業のセキュリティが脅かされ、データ漏洩のリスクが高まります。
- ! 特に、パブリックに露出したFortiWebシステムは、即座に攻撃の対象となる可能性があります。
編集長の意見
CVE-2025-64446は、Fortinet FortiWebにおける重大な脆弱性であり、特にパス・トラバーサルを利用した攻撃手法が注目されています。この脆弱性は、認証なしで管理者アカウントを作成できるため、攻撃者はシステムに対して完全な制御を得ることができます。特に、企業の周辺セキュリティデバイスが狙われる傾向が強まっており、FortiWebのような重要なセキュリティ機器が攻撃の対象となることは、企業にとって深刻な脅威です。今後、企業はこのような脆弱性に対して迅速に対応する必要があります。具体的には、FortiWebのバージョンを8.0.2以上に更新し、管理インターフェースをパブリックインターネットから隔離することが求められます。また、未承認の管理者アカウントや設定変更の兆候を監視し、疑わしい活動があれば即座に調査を行うことが重要です。セキュリティパッチの適用は、エンドポイントやサーバーと同様に、周辺セキュリティデバイスにも同じくらいの緊急性を持って行うべきです。企業は、脆弱性に関する情報を常に更新し、適切な対策を講じることで、リスクを軽減することができます。
背景情報
- i CVE-2025-64446は、FortiWebの特定のエンドポイントにおけるパス・トラバーサルの脆弱性です。この脆弱性により、認証なしで管理者アカウントを作成できるため、攻撃者は完全な管理者権限を取得します。
- i この脆弱性はFortiWeb 8.0.1以前のバージョンに影響を及ぼし、8.0.2で修正されています。攻撃者は、特定のHTTP POSTリクエストを利用して悪用を行います。