LOW🇬🇧 English

CVE-2026-25815

CVSS 3.2v3.1pub. 2026-02-05upd. 2026-04-15

Fortinet FortiOS do wersji 7.6.6 umożliwia atakującym odszyfrowanie poświadczeń LDAP przechowywanych w plikach konfiguracji urządzenia, ponieważ domyślnie klucz szyfrowania jest identyczny dla wszystkich instalacji klientów. Producent twierdzi, że niedomyślna opcja eliminująca tę słabość stanowi rozwiązanie, jednak może ona zakłócić funkcjonalność i dlatego umyślnie nie jest opcją domyślną.

Pokaż oryginał (EN)

Fortinet FortiOS through 7.6.6 allows attackers to decrypt LDAP credentials stored in device configuration files, as exploited in the wild from 2025-12-16 through 2026 (by default, the encryption key is the same across all customers' installations). NOTE: the Supplier's position is that the instance of CWE-1394 is not a vulnerability because customers "are supposed to enable" a non-default option that eliminates the weakness. However, that non-default option can disrupt functionality as shown in the "Managing FortiGates with private data encryption" document, and is therefore intentionally not a default option.

CVSS Vector
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Firewall
CWE
Referencje