A improper handling of parameters in Fortinet FortiWeb versions 7.6.3 and below, versions 7.4.7 and below, versions 7.2.10 and below, and 7.0.10 and below may allow an unauthenticated remote attacker with non-public information pertaining to the device and targeted user to gain admin privileges on the device via a specially crafted request.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:HFortinet Fortiweb
APPFortinet7.0.0 – 7.0.11 (bez)7.2.0 – 7.2.11 (bez)7.4.0 – 7.4.8 (bez)7.6.0 – 7.6.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Powiązane podatności
CVE-2026-24858CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Fortinet – Auth Bypass przez FortiCloud SSO w wielu produktach
CVE-2025-64446CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Path Traversal w Fortinet FortiWeb umożliwiający zdalne wykonanie poleceń
CVE-2025-25257CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Krytyczna podatność SQL Injection w Fortinet FortiWeb — obejście uwierzytelnienia
CVE-2025-59719CRITICAL9.8PL ✓ten sam produkt
Fortinet FortiWeb — pominięcie uwierzytelnienia SSO przez spreparowany SAML
CVE-2023-25610CRITICAL9.8PL ✓ten sam produkt
Buffer Underflow w interfejsie administracyjnym Fortinet FortiOS / FortiProxy — RCE bez uwierzytelnienia