17.11.2025 16:45

Kritische Sicherheitslücke in Fortinet FortiWeb wird aktiv ausgenutzt

Eine kritische Sicherheitslücke (CVE-2025-64446) in Fortinet FortiWeb erlaubt es unauthentifizierten Angreifer:innen, eigene Admin-Konten zu erstellen und somit die vollständige Kontrolle über betroffene Geräte zu erlangen. Die Schwachstelle wird mindestens seit dem 6. Oktober 2025 aktiv ausgenutzt und Exploitcode ist bereits öffentlich verfügbar .

Konkret kombiniert die Sicherheitslücke zwei Schwachstellen: Über einen unzureichend gesicherten API-Endpunkt senden Angreifer:innen einen Payload an das 'fwbcgi'-Binary. Dort kann der Payload die Authentifizierung umgehen und somit ein neues Admin-Konto mit eigenen Zugangsdaten anlegen.

Betroffene Versionen:

• FortiWeb 8.0.0 bis 8.0.1
• FortiWeb 7.6.0 bis 7.6.4
• FortiWeb 7.4.0 bis 7.4.9
• FortiWeb 7.2.0 bis 7.2.11
• FortiWeb 7.0.0 bis 7.0.11

Empfohlene Maßnahmen:

Betreiber:innen von Fortinet FortiWeb Installationen werden aufgefordert, unverzüglich auf folgende gepatchte Versionen zu aktualisieren: 8.0.2, 7.6.5, 7.4.10, 7.2.12 oder 7.0.12 . Sollte ein Update aktuell nicht möglich sein kann als Zwischenlösung der HTTP/HTTPS-Zugriff auf Internet-facing Interfaces selbst deaktiviert werden, bis ein Update durchgeführt werden kann.

Außerdem wird dringend empfohlen, die Konfiguration auf unerwartete Änderungen zu überprüfen und die Logs auf unautorisierten Zugriff beziehungsweise neu angelegte Admin-Konten seit Oktober 2025 zu checken.

Weitere IoCs sind hier verfügbar.