CVE-2025-64446

Exploitation de la vulnérabilité CVE-2025-64446 dans Fortiweb

Une nouvelle faille de sécurité, identifiée sous la référence CVE-2025-64446, a été découverte et est activement exploitée. Cette vulnérabilité combine une attaque par traversée de répertoire (path traversal) avec un contournement d’authentification via le cookie CGIINFO. L’exploitation de cette faille permet la création d’un nouveau compte administrateur sur les systèmes Fortiweb. Toute instance de Fortiweb dont l’interface graphique est accessible publiquement sur Internet doit être considérée comme potentiellement compromise. Des indicateurs de compromission (IOCs) ont été rassemblés par la communauté de la cybersécurité.

Points Clés :

• Nom de la vulnérabilité : CVE-2025-64446
• Type d’exploitation : Traversée de répertoire (Path Traversal) et contournement d’authentification (Auth Bypass) via le cookie CGIINFO.
• Impact : Création d’un compte administrateur non autorisé.
• Ciblage : Systèmes Fortiweb avec interface web GUI exposée à Internet.
• Exploitation active : La vulnérabilité est déjà exploitée dans la nature.

Vulnérabilités :

• CVE-2025-64446 : Combinaison d’une traversée de répertoire (/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi) et d’un contournement d’authentification via le cookie CGIINFO.

Recommandations :

• Priorité élevée : Les instances de Fortiweb exposées à Internet doivent être considérées comme compromises.
• Mise à jour : Les informations relatives aux correctifs doivent être recherchées et appliquées dès que possible (bien que l’article ne fournisse pas directement les détails de la mise à jour, il souligne leur absence initiale).
• Surveillance : Examiner les logs et les IOCs disponibles pour détecter toute activité suspecte.

Source