Krytyczna podatność w FortiOS, FortiSwitchManager, FortiSASE
CSIRT CeZ ostrzega: zidentyfikowano krytyczną podatność w produktach Fortinet (FortiOS, FortiSwitchManager, FortiSASE), która umożliwia zdalne wykonanie dowolnego kodu bez uwierzytelnienia. Podatność stanowi istotne zagrożenie dla bezpieczeństwa systemów.
Charakterystyka podatności
- Oznaczenie: CVE-2025-25249
- Score CVSS 3.1: 9,8 (Critical)
Jak działa podatność
Podatność może zostać wykorzystana poprzez specjalnie spreparowane pakiety sieciowe, co umożliwia niezautoryzowanemu atakującemu zdalne wykonanie dowolnego kodu lub poleceń (RCE), bez konieczności logowania się ani interakcji użytkownika. Podatność ma wysoki wpływ na poufność, integralność i dostępność systemu, ponieważ potencjalnie umożliwia pełne przejęcie urządzenia.
Podatne systemy
FortiOS:
- FortiOS 6.4.0 – 6.4.16
- FortiOS 7.0.0 – 7.0.17
- FortiOS 7.2.0 – 7.2.11
- FortiOS 7.4.0 – 7.4.8
- FortiOS 7.6.0 – 7.6.3
FortiSwitchManager:
- 7.0.0–7.0.5
- 7.2.0–7.2.6
FortiSASE:
- 25.1.a.2
- 25.2.b
Działania zapobiegawcze
Zalecamy niezwłoczną aktualizację do wersji wskazanej przez producenta.
Dlaczego to ważne
Podatność CVE-2025-25249 stanowi istotne zagrożenie dla bezpieczeństwa infrastruktury IT, ponieważ umożliwia zdalne wykonanie dowolnego kodu przez niezautoryzowanego atakującego, bez potrzeby uwierzytelnienia ani interakcji użytkownika. Oznacza to, że systemy narażone na tę podatność mogą zostać przejęte w pełni w sposób niewidoczny dla administratorów i użytkowników.