Fortinet je u utorak objavio zakrpe za 17 ranjivosti, uključujući i zero-day koji je riješen najnovijim FortiWeb ažuriranjima.
Označen kao CVE-2025-58034 (CVSS ocjena 6.7), ovaj propust je opisan kao OS command injection ranjivost koju mogu iskoristiti autentifikovani napadači da izvrše proizvoljan kod na osnovnom sistemu, putem posebno kreiranih HTTP zahtjeva ili CLI komandi.
„Fortinet je primijetio da se ova ranjivost eksploatiše u praksi“, navodi se u preporuci kompanije, bez dodatnih detalja o napadima.
Ovo je drugi FortiWeb zero-day otkriven u manje od nedjelju, nakon što je kompanija 14. novembra potvrdila da je CVE-2025-64446 (CVSS ocjena 9.1), kritična path traversal ranjivost, bila meta napada.
Fortinet je zakrpio obje eksploatisane ranjivosti u FortiWeb verzijama 8.0.2, 7.6.6, 7.4.11, 7.2.12 i 7.0.12. Korisnicima se preporučuje da što prije ažuriraju svoje instalacije.
Istovremeno sa drugom zero-day preporukom Fortineta, američka sajber bezbjednosna agencija CISA dodala je ovaj propust u svoj Known Exploited Vulnerabilities (KEV) katalog, pozivajući federalne agencije da ga zakrpe u roku od nedjelju dana.
Kratak rok za zakrpavanje koji je odredila CISA naglašava ozbiljnost eksploatisanih FortiWeb ranjivosti. Prema Binding Operational Directive (BOD) 22-01, federalne agencije inače imaju tri nedjelje da riješe propuste koji su novi na KEV listi.
Od preostalih 16 ranjivosti koje je Fortinet otkrio u utorak, tri su visokog rizika i nalaze se u FortiClient Windows (CVE-2025-47761 i CVE-2025-46373) i FortiVoice (CVE-2025-58692), a mogle bi dovesti do izvršavanja proizvoljnog koda ili komandi.
Kompanija je takođe riješila ranjivosti srednje i niže težine u FortiExtender, FortiMail, FortiPAM, FortiSandbox, FortiClientWindows, FortiADC, FortiOS, FortiSwitchManager, FortiProxy i FortiWeb proizvodima.
Osim CVE-2025-58034, Fortinet ne pominje da se ijedan drugi bezbjednosni propust eksploatiše u praksi. Dodatne informacije dostupne su na stranici sa bezbjednosnim preporukama kompanije.
Izvor: SecurityWeek