Fortinet, FortiWeb Web Uygulaması Güvenlik Duvarında (WAF) yaygın olarak aktif olarak kullanılan kritik bir güvenlik açığını gidermek için acil güvenlik güncellemeleri yayınladı.
CVE-2025-64446 olarak takip edilen kusur, kimliği doğrulanmamış saldırganların idari komutları yürütmesine ve etkilenen sistemler üzerinde tam kontrol sahibi olmasına olanak tanıyor. Güvenlik açığına CVSS puanı 10 üzerinden 9,1 olan kritik önem derecesi verildi.
Güvenlik sorunu, ürünün grafik kullanıcı arayüzünde (GUI) bulunan göreceli bir yol geçiş güvenlik açığından (CWE-23) kaynaklanmaktadır. Saldırgan, güvenlik açığı bulunan bir cihaza özel hazırlanmış bir HTTP veya HTTPS isteği göndererek erişim kontrollerini atlayabilir.
Bu onların, yetkisiz yönetici hesaplarının oluşturulmasına, veri sızmasına veya sistemin tamamen ele geçirilmesine yol açabilecek en yüksek ayrıcalıklarla keyfi komutları yürütmesine olanak tanır.
Fortinet’in uyarısı, bu güvenlik açığından aktif olarak yararlanıldığının gözlemlendiğini doğruluyor ve anında yama uygulanmasını tüm müşteriler için en önemli öncelik haline getiriyor.
Kusur, FortiWeb’in 8.0, 7.6, 7.4, 7.2 ve 7.0 sürümleri de dahil olmak üzere birden fazla sürümünü etkiliyor. Fortinet, etkilenen tüm şubeler için yamaları kullanıma sundu ve yöneticilere mümkün olan en kısa sürede en son güvenli sürümlere yükseltme yapmalarını şiddetle tavsiye ediyor.
Önerilen sürümler 8.0.2, 7.6.5, 7.4.10, 7.2.12 ve 7.0.12 veya üstüdür.
Fortinet, güncellemeleri hemen uygulayamayan kuruluşlar için geçici bir çözüm öneriyor.
Yöneticiler, internete bakan tüm arayüzlerde yönetim arayüzüne HTTP/HTTPS erişimini devre dışı bırakmalıdır. Bu, saldırı yüzeyini önemli ölçüde azaltırken Fortinet, bunun sistem yükseltilinceye kadar yalnızca geçici bir önlem olması gerektiğini vurguluyor.
Düzeltme eki uygulandıktan sonra yöneticilerin sistemlerini herhangi bir güvenlik ihlali belirtisi açısından denetlemesi çok önemlidir. Buna sistem günlüklerinin beklenmedik değişiklikler açısından incelenmesi ve saldırganlar tarafından oluşturulmuş olabilecek yetkisiz yerel veya yönetici hesaplarının kontrol edilmesi de dahildir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.