Kritische Schwachstelle in Fortinet FortiWeb

Das IT-Sicherheitsunternehmen Rapid7 veröffentlichte am 13. November 2025 eine Warnmeldung zu einer kritischen Schwachstelle in der WAF FortiWeb der Firma Fortinet. Die Sicherheitslücke hat die Kennung CVE-2025-64446 (EUVD-2025-197613). Die Schwachstelle besitzt den CVSS-Base-Score 9.1/10 und ist damit als kritisch bewertet.

Laut Rapid7 ermöglicht die Sicherheitslücke Angreifenden, ohne Hürden Administratorrechte zu erlangen. Weiter beschreibt Rapid7 ein Proof of Concept (PoC) zur Schwachstelle und gibt an, dass diese bereits ausgenutzt worden sei.

Von der Lücke betroffen sind laut Hersteller folgende FortiWeb-Versionen:

• FortiWeb 8.0: 8.0.0 bis 8.0.1
• FortiWeb 7.6: 7.6.0 bis 7.6.4
• FortiWeb 7.4: 7.4.0 bis 7.4.9
• FortiWeb 7.2: 7.2.0 bis 7.2.11
• FortiWeb 7.0: 7.0.0 bis 7.0.11

Fortinet stellt die folgenden abgesicherten Versionen bereit, die die Lücke schließen:

• Version 8.0.2 oder höher
• Version 7.6.5 oder höher
• Version 7.4.10 oder höher
• Version 7.2.12 oder höher
• Version 7.0.12 oder höher

• Installieren Sie umgehend die für Ihre Instanz passende Version von FortiWeb:
  • Version 8.0.2 oder höher
  • Version 7.6.5 oder höher
  • Version 7.4.10 oder höher
  • Version 7.2.12 oder höher
  • Version 7.0.12 oder höher
• Beachten Sie die Mitigationsmaßnahmen von Fortinet und von Rapid7. Diese finden Sie in den unten verlinkten Warnmeldungen.