【訳】
フォーティネット、攻撃で悪用されたFortiWebのゼロデイ脆弱性に対するサイレントパッチを承認
【要点】
◎FortiWebに深刻なゼロデイ(CVE-2025-64446)が悪用され、Fortinetは8.0.2で静かに修正。未認証で管理操作が可能になる欠陥で、CISAは連邦機関へ即時パッチを指示。公開管理UIの遮断とログ調査が推奨される。
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/11/14 | 2025/11/04 | CVE-2025-64446 | NVD | Fortinet | 9.8(Fortinet) |
CWE-23 | 相対パストラバーサル | 2025/11/14 | FortiWeb |
【要約】
Fortinetは、Webアプリケーションファイアウォール「FortiWeb」に存在していた重大ゼロデイ脆弱性(CVE-2025-64446)が実環境で大規模悪用されていたことを認め、10月28日に“サイレントパッチ”として公開したFortiWeb 8.0.2で修正済みと発表した。欠陥は未認証攻撃者が細工したHTTP/HTTPSリクエストにより管理コマンドを実行できるパストラバーサル問題で、攻撃者は管理者アカウントの不正作成に悪用していた。CISAは同脆弱性をKEVに追加し、米連邦機関に11月21日までのパッチ適用を命令。アップデートできない環境では、管理インターフェースのインターネット公開を停止し、ログ確認や不正アカウント調査が推奨されている。
【ニュース】
◆Fortinet confirms silent patch for FortiWeb zero-day exploited in attacks (BleepingComputer, 2025/11/14 12:00)
[フォーティネット、攻撃で悪用されたFortiWebのゼロデイ脆弱性に対するサイレントパッチを承認]
https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/
