Plateforme
fortinet
Composant
fortios
Corrigé dans
7.6.2
7.4.7
7.2.11
7.0.17
6.4.16
7.6.2
7.4.8
7.6.2
7.4.7
Une vulnérabilité d'Improper Privilege Management (CWE-269) a été découverte dans FortiOS, permettant à un attaquant authentifié de potentiellement escalader ses privilèges. Cette faille, affectant les versions de FortiOS 6.4.0 à 7.6.1, ainsi que FortiProxy et FortiWeb dans certaines versions, permet à un utilisateur disposant d'un accès en lecture seule d'obtenir des privilèges super-administrateur via des requêtes spécialement conçues adressées au module Node.js websocket. Fortinet a publié un correctif pour remédier à ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié, disposant initialement de droits d'administrateur en lecture seule, de contourner les contrôles d'accès et d'obtenir des privilèges super-administrateur. Cela lui confère un contrôle total sur le système FortiOS affecté, y compris la capacité de modifier les configurations, d'accéder à des données sensibles et de lancer des attaques contre d'autres systèmes sur le réseau. Le risque est particulièrement élevé dans les environnements où les comptes d'administrateur en lecture seule sont largement utilisés pour la surveillance, car ils pourraient être compromis pour obtenir un accès complet. Une compromission réussie pourrait entraîner une perte de confidentialité, d'intégrité et de disponibilité des données.
Cette vulnérabilité a été rendue publique le 10 juin 2025. Le score de probabilité d'exploitation est considéré comme moyen, compte tenu de la nécessité d'une authentification préalable. Il n'y a pas d'indicateurs d'exploitation active à ce jour, mais la complexité relativement faible de l'exploitation pourrait entraîner une augmentation de l'activité d'exploitation à l'avenir. Cette vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations heavily reliant on Fortinet FortiOS, FortiProxy, or FortiWeb appliances are at risk. Specifically, deployments utilizing read-only administrator accounts for monitoring or limited access, and those running vulnerable versions (6.4.0-7.6.1 for FortiOS, 7.4.0-7.6.1 for FortiProxy, and 7.4.0-7.6.1 for FortiWeb) are particularly vulnerable. Shared hosting environments using these appliances also face increased risk.
• fortinet: Examine FortiOS system logs for unusual websocket requests or attempts to modify system configurations by read-only administrators.
Get-WinEvent -LogName Security -FilterXPath '//Event[System[Provider[@Name='Fortinet FortiOS']]]'• linux / server: Monitor Fortinet device logs using journalctl for suspicious activity related to the Node.js websocket module.
journalctl -u fortinet -f | grep "websocket"• generic web: Use curl to test the websocket endpoint and observe the response for any unexpected behavior.
curl -v wss://<fortigate_ip>/node.js/websocketdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la dernière version de FortiOS, FortiProxy ou FortiWeb publiée par Fortinet. Avant d'appliquer la mise à jour, il est recommandé de créer une sauvegarde de la configuration actuelle. Si la mise à jour provoque des problèmes de compatibilité, envisagez de revenir à une version précédente stable, si possible. En attendant la mise à jour, il est possible de limiter l'accès au module Node.js websocket en configurant des règles de pare-feu restrictives ou en utilisant un proxy web pour filtrer les requêtes suspectes. Surveillez les journaux système pour détecter toute activité inhabituelle, en particulier les tentatives d'accès non autorisées aux fonctions d'administration.
Actualice FortiOS a una versión corregida que no esté dentro de los rangos de versiones afectadas. Consulte el advisory de Fortinet para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-22254 is a vulnerability in FortiOS, FortiProxy, and FortiWeb that allows authenticated read-only admins to gain super-admin privileges via crafted websocket requests.
You are affected if you are running FortiOS 6.4.0-7.6.1, FortiProxy 7.4.0-7.6.1, or FortiWeb 7.4.0-7.6.1.
Upgrade to a patched version of FortiOS, FortiProxy, or FortiWeb as recommended by Fortinet. Check their security advisories for specific version details.
As of June 10, 2025, no public exploits have been released, but the vulnerability's ease of exploitation means active exploitation is possible.
Refer to the official Fortinet security advisory on their website for detailed information and mitigation steps: [https://www.fortinet.com/security/advisory/fortinet-security-advisory/CVE-2025-22254](https://www.fortinet.com/security/advisory/fortinet-security-advisory/CVE-2025-22254)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.