【要点】
◎FortiWebにOSコマンドインジェクション脆弱性(CVE-2025-58034)が判明し悪用も確認。今月2件目の別脆弱性とは異なる。修正版(8.0.2等)への更新が必須。
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/11/18 | 2025/08/22 | CVE-2025-58034 | NVD | Fortinet | 6.7(Fortinet) |
CWE-78 | OSコマンドインジェクション | 2025/11/18 | FortiWeb |
【要約】
Fortinetは11月18日、WAF製品「FortiWeb」にOSコマンドインジェクション脆弱性(CVE-2025-58034)が存在し、すでに悪用が確認されたと公表した。原因はAPIやCLIでの入力処理不備で、権限を持つ攻撃者に任意コード実行を許す可能性がある。CVSSは7.2だが、Fortinetは重要度を「中(Medium)」と評価。同製品では14日にパストラバーサル脆弱性(CVE-2025-64446)の悪用も判明しており、今月2件目の悪用報告となる。両脆弱性とも「FortiWeb 8.0.2/7.6.6/7.4.11/7.2.12/7.0.12」で修正済みで、早急なアップデートが推奨されている。
【ニュース】
◆「FortiWeb」に悪用済み脆弱性が判明 - 今月2件目 (Security NEXT, )
https://www.security-next.com/177374
【関連まとめ記事】
◆全体まとめ
◆ベンダー (まとめ)
◆Fortinet (まとめ)
◆FortiWeb (まとめ)
https://vul.hatenadiary.com/entry/FortiWeb
