A condition for session fixation vulnerability [CWE-384] in the session management of FortiWeb versions 6.4 all versions, 6.3.0 through 6.3.16, 6.2.0 through 6.2.6, 6.1.0 through 6.1.2, 6.0.0 through 6.0.7, 5.9.0 through 5.9.1 may allow a remote, unauthenticated attacker to infer the session identifier of other users and possibly usurp their session.
CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HFortinet Fortiweb
APPFortinet5.6.0 – 5.9.2 (bez)6.0.0 – 6.0.8 (bez)6.1.0 – 6.1.3 (bez)6.2.0 – 6.2.7 (bez)6.3.0 – 6.3.17 (bez)6.4.0 – 7.0.0 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
Auth Bypass
Related vulnerabilities
CVE-2026-24858CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Fortinet – Auth Bypass przez FortiCloud SSO w wielu produktach
CVE-2025-64446CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Path Traversal w Fortinet FortiWeb umożliwiający zdalne wykonanie poleceń
CVE-2025-25257CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Krytyczna podatność SQL Injection w Fortinet FortiWeb — obejście uwierzytelnienia
CVE-2025-59719CRITICAL9.8PL ✓ten sam produkt
Fortinet FortiWeb — pominięcie uwierzytelnienia SSO przez spreparowany SAML
CVE-2023-25610CRITICAL9.8PL ✓ten sam produkt
Buffer Underflow w interfejsie administracyjnym Fortinet FortiOS / FortiProxy — RCE bez uwierzytelnienia