FortiWebに「管理コマンド実行」の重大脆弱性 緊急対応を：セキュリティニュースアラート

FortinetはFortiWebに相対パストラバーサル脆弱性が存在し、管理GUI経由で管理権限操作に到達され得ると発表した。既に悪用も確認されており、早急な対応が求められる。

[後藤大地，ITmedia]

　Fortinetは2025年11月14日（現地時間）、同社製品「FortiWeb」に深刻なセキュリティ脆弱（ぜいじゃく）性が存在することを発表した。管理GUIにおける相対パス処理の不備とされ、実際に悪用が確認されているという。

FortiWebに深刻脆弱性、Fortinetが悪用事例を公表

　報告しているセキュリティ脆弱性は次の通りだ。

　相対パストラバーサルの脆弱性。CVE識別番号は「CVE-2025-64446」。攻撃者が細工したHTTPまたはHTTPSリクエストを介して脆弱性のあるシステムで管理コマンドを実行できる可能性がある。Fortinetは共通脆弱性評価システム（CVSS）v3.1のスコアを9.1としている。

　影響を受けるとされるFortiWebのバージョンは次の通りだ。

• FortiWeb 8.0.0から8.0.1までのバージョン
• FortiWeb 7.6.0から7.6.4までのバージョン
• FortiWeb 7.4.0から7.4.9までのバージョン
• FortiWeb 7.2.0から7.2.11までのバージョン
• FortiWeb 7.0.0から7.0.11までのバージョン

　修正後のFortiWebのバージョンは次の通りだ。

• FortiWeb 8.0.2およびこれ以降のバージョン
• FortiWeb 7.6.5およびこれ以降のバージョン
• FortiWeb 7.4.10およびこれ以降のバージョン
• FortiWeb 7.2.12およびこれ以降のバージョン
• FortiWeb 7.0.12およびこれ以降のバージョン

　緩和策として外部に公開されているインタフェースでHTTPまたはHTTPSによる管理GUIアクセスを無効化する設定が推奨されている。管理GUIが内部ネットワークのみで利用されている環境であれば、攻撃成立の可能性は下がるという。Fortinetは環境に応じて更新作業が実施されるまでの暫定措置として、この設定を採用する価値があると述べている。

　Fortinetから公表されている情報は、watchTowr Labsが公表した分析結果と一致している。watchTowr Labsは、FortiWeb内部のfwbcgiプロセスに到達できる経路が存在し、特定ヘッダに含まれる情報を基に内部利用者を偽装できる状態が観測されていると報告している。Fortinetの説明では詳細な技術的構造には触れていないが、FortiWebのGUI処理におけるパス処理が起点となり、管理権限に関連する操作へ到達できる点が問題の焦点として扱われている。

　今回の不具合は管理操作へ直接到達でき実際の悪用例が報告されていることから、内部状況を確認し、速やかな更新と設定確認が求められる。