Fortinet signale deux vulnérabilités critiques dans FortiWeb en quelques jours. Selon Fortinet, il n’y a pas de lien entre elles.
Fortinet est doublement touché par des vulnérabilités dans FortiWeb, une solution de pare-feu pour les applications web et les API. Mardi, Fortinet a signalé la vulnérabilité CVE-2025-58034, CWE-78 dans la propre classification de l’entreprise. Cette vulnérabilité permet aux attaquants d’exécuter du code non autorisé à l’aide de requêtes HTTP ou de commandes CLI spéciales. Fortinet remercie son concurrent Trend Micro pour la découverte.
L’annonce de mardi fait suite à peine à quelques jours de l’annonce d’une autre vulnérabilité, CVE-2025-64446 ou CWE-23. Celle-ci permet aux attaquants non vérifiés d’exécuter des commandes d’administrateur et de prendre le contrôle des appareils vulnérables. Bien que la vulnérabilité soit connue depuis un mois, Fortinet n’a admis que vendredi que les attaquants l’utilisaient activement.
Cela fait deux vulnérabilités activement exploitées dans la même application Fortinet. La solution est cependant la même : mettre à niveau vers les versions les plus récentes et prises en charge de FortiWeb. Ces versions corrigent les vulnérabilités :
- FortiWeb 8.0.2
- FortiWeb 7.6.6
- FortiWeb 7.4.11
- FortiWeb 7.2.12
- FortiWeb 7.0.12
Pas de lien, ou peut-être que si ?
Il ne semble pas fortuit que deux vulnérabilités apparaissent en peu de temps dans une même application. Pourtant, Fortinet affirme qu’il n’y a pas de lien. Les experts d’autres fournisseurs de sécurité remettent cela en question, car la première vulnérabilité semble aider à exploiter la seconde.
« Notre enquête a révélé une vulnérabilité dans FortiWeb lors de l’examen d’un problème plus ancien dans le même produit. Nous avons constaté que les utilisateurs authentifiés pouvaient exécuter des commandes système via l’interface web, ce qui expose les clients au risque que des attaquants prennent le contrôle de l’appareil et pénètrent plus profondément dans le réseau si aucun correctif n’est appliqué », a déclaré le découvreur Trend Micro à The Register.
Rapid7 semble également ne pas croire à la coïncidence dans son analyse. « Les deux vulnérabilités ont été corrigées simultanément par Fortinet sans annonce préalable. Il est utile de coupler un contournement d’authentification à une injection de commande authentifiée. Cela rend très probable que ces deux vulnérabilités forment une chaîne d’exploitation pour l’exécution de code à distance non authentifiée sur les appareils FortiWeb vulnérables ».