文章总结： FortiWeb存在严重路径遍历漏洞CVE-2025-64446，允许未经认证的远程执行命令。Fortinet的静默修复与延迟披露策略导致该漏洞在修复后立即被利用，暴露了厂商不透明处理的巨大风险。事件强调企业需加强补丁管理，安全厂商应确保及时透明的漏洞披露，以避免防御方在信息战中处于劣势。 综合评分： 93 文章分类： 漏洞分析,漏洞预警,应急响应,安全大事件,WEB安全

FortiWeb的重大漏洞恐引发一轮攻击热潮

原创

网空闲话

网空闲话plus

2025年11月18日 07:38 北京

【2025年11月18日综合Dark Reading与Cyberscoop报道】近日，网络安全厂商Fortinet因其Web应用防火墙（WAF）产品FortiWeb中存在的一个严重路径遍历漏洞（CVE-2025-64446）被推上风口浪尖。该漏洞允许未经身份验证的攻击者远程执行管理命令，CVSS评分高达9.1分，已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录。然而，比漏洞本身更具破坏性的，是Fortinet在漏洞披露和修复过程中极不透明的“静默修复”策略，这背后暴露的“人祸”因素，恐将为企业安全防线带来一场本可避免的风暴。要命的是，暗网论坛已有人兜售Fortinet的3000多个VPN权限，可能与此漏洞利用有关。

一个可让攻击者长驱直入的路径遍历漏洞

从技术层面看，CVE-2025-64446是一个典型的相对路径遍历漏洞。根据安全公司Picus Security的分析，问题根源在于FortiWeb的GUI API处理器在处理URL路径前，未能进行严格的验证和清理。攻击者可以精心构造一个包含路径遍历序列（如../）的HTTP或HTTPS请求，轻松绕过预定的/api/v2.0/路由，直接访问具有高权限的CGI端点。更危险的是，通过篡改请求头，攻击者能够完全绕过身份验证环节。

这意味着，攻击者无需任何用户名和密码，即可从互联网直接对暴露的FortiWeb设备发起攻击，实现创建新管理员账户、修改系统配置、乃至完全控制设备等一系列高危操作。FortiWeb作为守护Web应用安全的“大门”，自身却存在一个能让攻击者绕过门禁、直入核心的漏洞，其讽刺性与危害性不言而喻。

静默修复与延迟披露的致命隐患

如果说技术漏洞是不可避免的风险，那么Fortinet在后续事件处理中的一系列操作，则是一次彻头彻尾的“人祸”。

“静默修复”误导用户：Fortinet早在10月28日发布的FortiWeb 8.0.2版本中就已修复此漏洞，但在该版本的官方更新日志中，却对此重大安全更新只字未提。这种“静默修复”的做法，使得绝大多数客户无法意识到升级的紧迫性。在客户看来，这或许只是一个普通的功能更新，而非修复一个可能导致业务沦陷的致命漏洞。正如watchTowr公司创始人Ben Harris所言：“FortiWeb的客户没有被告知不应用这些补丁会带来多么严重的直接风险。如果他们知道的话，很可能会立即更新。”

延迟披露贻误战机：从10月28日修复到11月14日分配CVE并公开披露，Fortinet沉默了整整17天。而这17天，正是威胁防御的黄金窗口期。在此期间，第三方威胁研究人员于10月6日左右就已监测到针对该未知漏洞的利用尝试，并成功构建了概念验证（PoC）。当Fortinet终于拉响警报时，大规模、无差别的攻击早已蔓延开来。Rapid7的安全研究员Ryan Emmons一针见血地指出：“在客户获得任何正式的认知、指导或补丁信息之前，它就已经被利用了。这实际上表现得像一个零日漏洞。”

漏洞利用与地下黑市的交织

Fortinet的沉默，无疑是为攻击者敞开了大门。参考材料中提及的暗网论坛帖子，生动地展现了这一漏洞可能引发的连锁反应。有威胁行为者公然发帖，宣称出售3000个FortiGate VPN的访问权限，要价高达16000美元。尽管此帖针对的是FortiGate VPN，但它清晰地描绘了一条完整的黑色产业链：攻击者利用类似CVE-2025-64446的高危漏洞攻破网络设备，获取访问权限，随后将这些权限在暗网明码标价，最终被用于勒索软件攻击、数据窃取等更深层次的犯罪活动。

当防御者还在为缺失的信息而焦头烂额时，攻击者已经完成了从武器化到变现的商业闭环。Fortinet的延迟，直接导致了防御方在时间、信息和主动权上的全面落后。

安全厂商在重大漏洞面前应何为？

Fortinet此次事件，为所有网络安全厂商敲响了警钟。在应对重大漏洞时，厂商的责任远不止于“修复”而已。

透明度是安全的基石：网络安全不能依靠“隐匿”来实现。Caitlin Condon的批评无比正确：“默默修补漏洞是一种公认的不良做法，它助长了攻击者的气焰，损害了防御者的利益。”厂商必须建立清晰、及时、透明的漏洞披露政策，在发布修复补丁的同时，应明确告知用户漏洞的严重性、影响范围和修复的紧迫性。

在“负责任的披露”与“用户安全”间寻求平衡：Fortinet发言人称其“在保障客户安全与秉持负责任的透明文化之间寻求平衡”，但此次事件显然严重失衡。真正的“负责任”，应是以最快速度将可操作的安全信息传递给最需要它的防御者。延迟披露绝非谨慎，而是失职。

建立高效的协同应急响应机制：厂商应主动与全球的CERT组织、安全研究机构和威胁情报公司合作，在漏洞被广泛利用前，通过私密或公开渠道提前预警，形成协同防御的合力，而非单打独斗。

结语

CVE-2025-64446漏洞事件，是一次由技术漏洞引发、因人为处理不当而急剧放大的安全危机。它残酷地揭示了一个事实：在当今的网络安全生态中，最大的风险有时并非来自恶意的攻击者，而是来自本该值得信赖的守护者的沉默与不透明。对于广大企业而言，此事件再次强调了严格执行网络安全最佳实践的重要性——包括但不限于：最小化系统网络暴露面、建立严格的变更与补丁管理流程、以及不能盲目信任单一安全产品。毕竟，在数字世界的攻防战中，任何一扇沉默的“后门”，都可能导致整个堡垒的陷落。

参考资源

1、https://cyberscoop.com/fortinet-delayed-disclosure-exploited-vulnerability/

2、https://www.darkreading.com/application-security/critical-fortinet-fortiweb-waf-bug-exploited-in-wild

3、https://x.com/DarkWebInformer/status/1990454342919549423

4、https://www.picussecurity.com/resource/blog/fortiweb-cve-2025-64446-vulnerability-path-traversal-leads-to-remote-code-execution