🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Fortinet alertou sobre uma nova falha de segurança no FortiWeb que, segundo ela, foi explorada em estado selvagem.
A vulnerabilidade de gravidade média, rastreada como CVE-2025-58034, carrega uma pontuação CVSS de 6,7 de um máximo de 10,0.
“Uma neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando do sistema operacional ('OS Command Injection') [CWE-78] no FortiWeb pode permitir que um invasor autenticado execute código não autorizado no sistema subjacente por meio de solicitações HTTP elaboradas ou comandos CLI”, disse a empresa em um comunicado de terça-feira.
Em outras palavras, ataques bem-sucedidos exigem que o invasor primeiro se autentique por outros meios e o encadeie com CVE-2025-58034 para executar comandos arbitrários do sistema operacional.
Foi abordado nas seguintes versões -
FortiWeb 8.0.0 a 8.0.1 (atualização para 8.0.2 ou superior)
FortiWeb 7.6.0 a 7.6.5 (atualização para 7.6.6 ou superior)
FortiWeb 7.4.0 a 7.4.10 (atualização para 7.4.11 ou superior)
FortiWeb 7.2.0 a 7.2.11 (atualização para 7.2.12 ou superior)
FortiWeb 7.0.0 a 7.0.11 (atualização para 7.0.12 ou superior)
A empresa deu crédito ao pesquisador da Trend Micro, Jason McFadyen, por relatar a falha de acordo com sua polÃtica de divulgação responsável.
Curiosamente, o desenvolvimento ocorre dias depois que a Fortinet confirmou que corrigiu silenciosamente outra vulnerabilidade crÃtica do FortiWeb (CVE-2025-64446, pontuação CVSS: 9.1) na versão 8.0.2.
“Ativamos nossos esforços de resposta e remediação PSIRT assim que tomamos conhecimento deste assunto, e esses esforços continuam em andamento”, disse um porta-voz da Fortinet ao The Hacker News. "A Fortinet equilibra diligentemente nosso compromisso com a segurança de nossos clientes e nossa cultura de transparência responsável."
Atualmente não está claro por que a Fortinet optou por corrigir as falhas sem divulgar um comunicado. Mas a medida deixou os defensores em desvantagem, impedindo-os efectivamente de montar uma resposta adequada.
“Quando os fornecedores de tecnologia populares não conseguem comunicar novos problemas de segurança, eles estão emitindo um convite aos invasores, ao mesmo tempo que optam por manter as mesmas informações dos defensores”, observou VulnCheck na semana passada.
Atualizar
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou o defeito de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), instando as agências do Poder Executivo Civil Federal (FCEB) a corrigi-lo até 25 de novembro de 2025.
A vulnerabilidade de gravidade média, rastreada como CVE-2025-58034, carrega uma pontuação CVSS de 6,7 de um máximo de 10,0.
“Uma neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando do sistema operacional ('OS Command Injection') [CWE-78] no FortiWeb pode permitir que um invasor autenticado execute código não autorizado no sistema subjacente por meio de solicitações HTTP elaboradas ou comandos CLI”, disse a empresa em um comunicado de terça-feira.
Em outras palavras, ataques bem-sucedidos exigem que o invasor primeiro se autentique por outros meios e o encadeie com CVE-2025-58034 para executar comandos arbitrários do sistema operacional.
Foi abordado nas seguintes versões -
FortiWeb 8.0.0 a 8.0.1 (atualização para 8.0.2 ou superior)
FortiWeb 7.6.0 a 7.6.5 (atualização para 7.6.6 ou superior)
FortiWeb 7.4.0 a 7.4.10 (atualização para 7.4.11 ou superior)
FortiWeb 7.2.0 a 7.2.11 (atualização para 7.2.12 ou superior)
FortiWeb 7.0.0 a 7.0.11 (atualização para 7.0.12 ou superior)
A empresa deu crédito ao pesquisador da Trend Micro, Jason McFadyen, por relatar a falha de acordo com sua polÃtica de divulgação responsável.
Curiosamente, o desenvolvimento ocorre dias depois que a Fortinet confirmou que corrigiu silenciosamente outra vulnerabilidade crÃtica do FortiWeb (CVE-2025-64446, pontuação CVSS: 9.1) na versão 8.0.2.
“Ativamos nossos esforços de resposta e remediação PSIRT assim que tomamos conhecimento deste assunto, e esses esforços continuam em andamento”, disse um porta-voz da Fortinet ao The Hacker News. "A Fortinet equilibra diligentemente nosso compromisso com a segurança de nossos clientes e nossa cultura de transparência responsável."
Atualmente não está claro por que a Fortinet optou por corrigir as falhas sem divulgar um comunicado. Mas a medida deixou os defensores em desvantagem, impedindo-os efectivamente de montar uma resposta adequada.
“Quando os fornecedores de tecnologia populares não conseguem comunicar novos problemas de segurança, eles estão emitindo um convite aos invasores, ao mesmo tempo que optam por manter as mesmas informações dos defensores”, observou VulnCheck na semana passada.
Atualizar
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou o defeito de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), instando as agências do Poder Executivo Civil Federal (FCEB) a corrigi-lo até 25 de novembro de 2025.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #fortinet #alerta #sobre #nova #vulnerabilidade #fortiweb #cve202558034 #explorada #na #natureza
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário