Güvenlik araştırmacıları, Fortinet FortiWeb’de yakın zamanda açıklanan iki güvenlik açığının, web uygulaması güvenlik duvarı ürününün daha önceki, desteklenmeyen sürümlerini hedef alan saldırılarda kullanılabileceği konusunda uyarıyor.
Fortinet Kasım ayında, şu şekilde izlenen göreceli bir yol geçiş güvenlik açığının olduğunu doğruladı: CVE-2025-64446, ve şu şekilde izlenen bir işletim sistemi komut ekleme güvenlik açığı: CVE-2025-58034vahşi doğada sömürülüyordu.
Ancak Pazartesi günü Rapid7’deki araştırmacılar güvenlik açıklarının bulunduğunu söyledi FortiWeb’in daha önce bilinenden önceki sürümlerinde.
Fortinet’in CVE-2025-64446’ya yönelik kılavuzunda 7.0.0’dan 7.0.11’e kadar olan sürümlerin ve 8.0.0’dan 8.0.1’e kadar olan sürümlerin savunmasız olduğu belirtildi.
Stephen Fewer, Rapid7’nin baş güvenlik araştırmacısıFortiWeb 6.x’in eski, desteklenmeyen sürümlerinin de hem CVE-2025-64446 hem de CVE 2025-58034’e karşı savunmasız olduğunu buldu.
Rapid7 araştırmacıları, FortiWeb’in önceki sürümlerini hedef alan tehdit faaliyetlerini doğrudan görmediklerini ancak müşterilere bilgi verdiklerini ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın bu durumu bildiklerini söyledi. kusurların Bilinen İstismar Edilen Güvenlik Açıklarına eklenmesi katalog.
Fortinet’in vardı daha önce yaygın eleştirilere maruz kalmıştı Ekim ayında CVE-2025-64446’nın ilk açıklamalarının ardından sessiz bir yama yayınladığı için. Ekim ayı başlarında Defused adlı bir firma, şüpheli faaliyetlerle ilgili bir blog yayınladı.
Sessiz yama, esasen şirketin resmi rehberlik veya CVE tanımlayıcısı sağlamadan bir yama yayınlaması anlamına geliyordu. Bu nedenle, ürünü kullanan şirketlerin güvenlik ekipleri nelere dikkat etmeleri gerektiği konusunda talimatlardan yoksundu. Gerçek riskin ne olduğunu veya hafifletme çabalarına nasıl öncelik vereceklerini bilmiyorlardı.
Rapid7 personel güvenlik araştırmacısı Ryan Emmons, Cybersecurity Dive’a şunları söyledi: “Bu durumda, CVE’ler yayınlanmadan önce vahşi doğada sömürüye tanık olduk ki bu, savunucular için büyük bir diz kapağıdır.” “Yeni güvenlik açıkları ortaya çıktığında gerçekleştirilen süreçlerin ve önceliklendirme adımlarının çoğu, bu CVE tanımlayıcılarına dayanıyor.”