48 3052-8500

CVE-2025-64446: FortiWeb é afetado por falha crítica com exploração ativa que permite execução remota de comandos administrativos - OSTEC | Segurança digital de resultados

CVE 3min de Leitura - 18 de novembro de 2025

CVE-2025-64446: FortiWeb é afetado por falha crítica com exploração ativa que permite execução remota de comandos administrativos

CVE-2025-64446

This post is also available in: Português

A CVE-2025-64446, atualmente com exploração ativa confirmada por órgãos e empresas de segurança, afeta o FortiWeb, solução de Web Application Firewall da Fortinet amplamente utilizada em ambientes corporativos para proteger aplicações e APIs.

A vulnerabilidade ocorre devido a uma falha de travessia de caminho relativo que permite que invasores enviem solicitações HTTP ou HTTPS manipuladas a fim de executar comandos administrativos remotamente. Com CVSS 9.8, ela se enquadra entre os tipos de falhas mais graves, pois possibilita comprometimento total do dispositivo e, potencialmente, de toda a camada de aplicação protegida por ele.

O papel do FortiWeb e por que a falha é tão crítica

O FortiWeb é responsável por analisar e filtrar o tráfego que chega a aplicações web. Sua função é bloquear ataques como injeções, exploração de APIs, automações maliciosas e outras tentativas de comprometer serviços online. Ele atua como um ponto intermediário entre usuários externos e a aplicação, inspecionando tudo o que entra e sai.

Por operar nessa posição estratégica, o FortiWeb possui permissões elevadas e acesso profundo à lógica da aplicação e aos dados trafegados. Isso significa que qualquer falha que permita a um atacante executar comandos administrativos tem impacto direto na integridade, disponibilidade e confidencialidade de aplicações críticas. Em ambientes corporativos, esse tipo de risco pode afetar portais de clientes, sistemas internos, interfaces de APIs e até fluxos de integração com parceiros.

Versões afetadas

A Fortinet confirmou que as seguintes versões são vulneráveis:

  • FortiWeb 8.0.0 a 8.0.1
  • FortiWeb 7.6.0 a 7.6.4
  • FortiWeb 7.4.0 a 7.4.9
  • FortiWeb 7.2.0 a 7.2.11
  • FortiWeb 7.0.0 a 7.0.11

As faixas incluem tanto versões de manutenção quanto edições amplamente distribuídas em ambientes corporativos, o que amplia o potencial de impacto global.

Como a falha acontece tecnicamente

A CVE-2025-64446 é classificada como um caso de travessia de caminho relativo, associada ao CWE-23. Esse tipo de falha surge quando o sistema não valida adequadamente caminhos fornecidos pelo usuário, permitindo que parâmetros manipulados escapem do diretório padrão e alcancem arquivos internos ou funções que não deveriam ser acessíveis.

Em vez de permanecer no diretório previsto, o invasor utiliza sequências como “../” ou variações semelhantes para navegar por outras áreas do sistema. No FortiWeb, a validação insuficiente permite que a requisição acione componentes administrativos.

Uma vez que isso ocorre, o atacante ganha capacidade de executar funções internas, alterar configurações e operar o dispositivo como se fosse um administrador legítimo. É um salto direto da manipulação de uma simples requisição para o controle completo do appliance.

Exploração ativa e riscos observados

A criticidade da vulnerabilidade aumentou após a confirmação de exploração ativa por parte da CISA e de empresas de segurança. O fato de já existirem incidentes envolvendo a CVE-2025-64446 demonstra que agentes maliciosos estão ativamente procurando dispositivos vulneráveis na internet e utilizando a falha como vetor de ataque.

Os relatos mostram que a exploração costuma ocorrer de forma automatizada. Invasores realizam varreduras para identificar FortiWebs vulneráveis, enviam sequências de requisições manipuladas e, ao obterem acesso administrativo, modificam regras, inserem backdoors ou alteram comportamentos essenciais do sistema. Em ambientes corporativos, isso cria um cenário de alto risco, já que o ataque pode se expandir para aplicações internas, bases de dados ou serviços expostos.

A inclusão dessa vulnerabilidade no Known Exploited Vulnerabilities Catalog confirma que não se trata de um alerta preventivo, mas de uma ameaça imediata.

Recomendações para mitigação

A principal medida de mitigação é a aplicação imediata dos patches disponibilizados pela Fortinet. Enquanto isso não for possível, é importante limitar o acesso às interfaces administrativas, reforçar políticas de firewall, restringir a exposição do FortiWeb à internet e monitorar logs em busca de requisições suspeitas que indiquem tentativas de travessia de diretório.

Organizações que utilizam o FortiWeb como camada essencial de proteção devem priorizar a atualização, pois o risco aumenta proporcionalmente à criticidade da aplicação protegida.

A CVE-2025-64446 evidencia como vulnerabilidades de path traversal podem se transformar em problemas de alto impacto quando atingem componentes centrais da infraestrutura de segurança. O fato de a falha estar sendo explorada ativamente reforça a necessidade de ação rápida.

Manter os appliances atualizados, revisar políticas de acesso e monitorar o ambiente são passos essenciais para proteger aplicações e garantir continuidade operacional.

This post is also available in: Português

CVE-2025-10918, CVE-2025-9713 e CVE-2025-11622: Vulnerabilidades no Ivanti EPM permitem execução de código, modificação de arquivos e escalonamento de privilégios

Postagem anterior