一、漏洞核心概述
CVE-2025-64446 是 Fortinet FortiWeb Web 应用防火墙中被披露的超高危相对路径遍历与身份验证绕过复合漏洞,CVSS 评分高达 9.8/10,被美国网络安全与基础设施安全局(CISA)紧急纳入已知被利用漏洞目录(KEV),并强制要求联邦政府机构及关键基础设施运营商在 2025 年 11 月 21 日前完成全面修复。
该漏洞的核心危害在于打破了'身份验证 - 权限校验 - 路径访问'的三重安全防线:攻击者无需任何合法凭证,仅通过构造特制 HTTP 请求,即可绕过 FortiWeb 现代 API 的安全校验机制,直接访问并执行系统底层的 CGI 管理脚本,最终实现管理员账户创建、设备配置篡改乃至全网防护策略瘫痪的攻击目标。自 2025 年 10 月 6 日漏洞细节被公开披露后,全球范围内已监测到超过 50 万次自动化攻击扫描,涉及金融、能源、政府等多个关键领域,漏洞利用的'零门槛'特性使其成为黑客组织批量攻击的首选目标。
二、漏洞技术细节
1. 漏洞底层原理
FortiWeb 作为一款成熟的 Web 应用防护设备,为兼容早期部署的 legacy 系统,保留了基于 CGI 协议的传统管理接口(/cgi-bin/fwb.cgi)。该接口的身份验证机制并非采用现代 API 通用的 Token 或 Session 校验,而是依赖一个自定义 HTTP 标头 CGIINFO 的值进行权限判断——这一设计本身就存在单点信任风险。
更致命的是,FortiWeb 对 REST API 接口的路径参数过滤存在致命缺陷:开发人员仅对请求路径进行了简单的字符串匹配,未对 URL 编码后的特殊字符进行解码校验。攻击者正是利用这一漏洞,通过构造包含 URL 编码路径遍历序列(%3f 对应 ?,../ 对应上级目录)的请求路径,绕过 API 层的路径访问限制,实现从 /api/v2.0/cmdb/system/admin 到 /cgi-bin/fwb.cgi 的跨层级跳转。
这种'路径遍历 + 身份验证绕过'的复合攻击逻辑,相当于直接撬开了 FortiWeb 的'后门'——既绕过了现代接口的安全校验,又直接调用了拥有最高系统权限的旧版管理脚本。
2. 关键利用路径与攻击载荷
漏洞的核心利用端点构造如下:
/api/v2.0/cmdb/system/admin%3f/../../../../../../cgi-bin/fwb.cgi
攻击的完整执行流程可分为三步:
- 路径混淆:攻击者在 API 请求路径中插入
%3f(即?),干扰 FortiWeb 的路径解析逻辑,使其无法正确识别请求的目标资源;随后通过多级../序列,向上遍历至系统根目录下的 CGI 脚本目录。 - 身份绕过:向构造的端点发送 HTTP POST 请求,并在请求头中注入特制的
CGIINFO标头值(如user=admin&role=superadmin)。由于 CGI 接口仅校验该标头而忽略其他身份信息,攻击者可直接伪装成超级管理员。 - 权限执行:在请求体中携带账户创建指令(如
{"name":"backdoor","password":"[恶意密码]","privilege":"admin"}),触发 CGI 脚本执行系统命令,创建具有完全权限的管理员账户。
整个攻击过程无需交互、单次请求即可完成,且攻击流量无明显特征,极易绕过传统防火墙的规则检测。
3. 漏洞触发条件
- 暴露面要求:目标 FortiWeb 设备的 HTTP/HTTPS 管理接口需暴露在互联网或可被攻击者访问的内网环境中;
- 版本要求:设备运行 FortiWeb 7.0.0-7.0.11、7.2.0-7.2.11、7.4.0-7.4.9、7.6.0-7.6.4、8.0.0-8.0.1 版本;
- 配置要求:未启用 FortiWeb 的'API 路径严格校验'功能(该功能为可选配置,默认未开启)。
