CVE-2025-64446 是 Fortinet FortiWeb Web 应用防火墙中的高危漏洞,CVSS 评分 9.8,被 CISA 纳入已知被利用漏洞目录。该漏洞允许攻击者通过构造特制 HTTP 请求绕过身份验证并执行路径遍历,直接访问底层 CGI 管理脚本,导致管理员账户创建、配置篡改及防护策略瘫痪。受影响版本包括 7.0.x 至 8.0.x 系列特定版本。野外已监测到大规模自动化攻击。防御措施建议立即升级至安全修复版本,启用 API 路径严格校验,关闭公网管理接口,并部署虚拟补丁或流量拦截规则以阻断攻击载荷。企业需建立快速响应机制,定期扫描漏洞,构建多层防御体系。
CVE-2025-64446 是 Fortinet FortiWeb Web 应用防火墙中被披露的超高危相对路径遍历与身份验证绕过复合漏洞,CVSS 评分高达 9.8/10,被美国网络安全与基础设施安全局(CISA)紧急纳入已知被利用漏洞目录(KEV),并强制要求联邦政府机构及关键基础设施运营商在 2025 年 11 月 21 日前完成全面修复。
该漏洞的核心危害在于打破了'身份验证 - 权限校验 - 路径访问'的三重安全防线:攻击者无需任何合法凭证,仅通过构造特制 HTTP 请求,即可绕过 FortiWeb 现代 API 的安全校验机制,直接访问并执行系统底层的 CGI 管理脚本,最终实现管理员账户创建、设备配置篡改乃至全网防护策略瘫痪的攻击目标。自 2025 年 10 月 6 日漏洞细节被公开披露后,全球范围内已监测到超过 50 万次自动化攻击扫描,涉及金融、能源、政府等多个关键领域,漏洞利用的'零门槛'特性使其成为黑客组织批量攻击的首选目标。
FortiWeb 作为一款成熟的 Web 应用防护设备,为兼容早期部署的 legacy 系统,保留了基于 CGI 协议的传统管理接口(/cgi-bin/fwb.cgi)。该接口的身份验证机制并非采用现代 API 通用的 Token 或 Session 校验,而是依赖一个自定义 HTTP 标头 CGIINFO 的值进行权限判断——这一设计本身就存在单点信任风险。
更致命的是,FortiWeb 对 REST API 接口的路径参数过滤存在致命缺陷:开发人员仅对请求路径进行了简单的字符串匹配,未对 URL 编码后的特殊字符进行解码校验。攻击者正是利用这一漏洞,通过构造包含 URL 编码路径遍历序列(%3f 对应 ?,../ 对应上级目录)的请求路径,绕过 API 层的路径访问限制,实现从 /api/v2.0/cmdb/system/admin 到 /cgi-bin/fwb.cgi 的跨层级跳转。
这种'路径遍历 + 身份验证绕过'的复合攻击逻辑,相当于直接撬开了 FortiWeb 的'后门'——既绕过了现代接口的安全校验,又直接调用了拥有最高系统权限的旧版管理脚本。
漏洞的核心利用端点构造如下:
/api/v2.0/cmdb/system/admin%3f/../../../../../../cgi-bin/fwb.cgi
攻击的完整执行流程可分为三步:
%3f(即 ?),干扰 FortiWeb 的路径解析逻辑,使其无法正确识别请求的目标资源;随后通过多级 ../ 序列,向上遍历至系统根目录下的 CGI 脚本目录。CGIINFO 标头值(如 user=admin&role=superadmin)。由于 CGI 接口仅校验该标头而忽略其他身份信息,攻击者可直接伪装成超级管理员。{"name":"backdoor","password":"[恶意密码]","privilege":"admin"}),触发 CGI 脚本执行系统命令,创建具有完全权限的管理员账户。整个攻击过程无需交互、单次请求即可完成,且攻击流量无明显特征,极易绕过传统防火墙的规则检测。
| 产品系列 | 受影响版本 | 安全修复版本 |
|---|---|---|
| FortiWeb 7.0.x | 7.0.0-7.0.11 | 7.0.12 及以上 |
| FortiWeb 7.2.x | 7.2.0-7.2.11 | 7.2.12 及以上 |
| FortiWeb 7.4.x | 7.4.0-7.4.9 | 7.4.10 及以上 |
| FortiWeb 7.6.x | 7.6.0-7.6.4 | 7.6.5 及以上 |
| FortiWeb 8.0.x | 8.0.0-8.0.1 | 8.0.2 及以上 |
安全修复版本的核心改进在于双重路径校验机制:一是对所有 API 请求路径进行 URL 解码后再校验,二是严格限制 API 接口与 CGI 接口的访问隔离,彻底阻断跨层级路径跳转。
FortiWeb 作为部署在网络边界的核心 WAF 设备,其防护范围覆盖了企业官网、交易平台、后台管理系统等关键业务系统,因此该漏洞的影响具有明显的行业穿透性:
该漏洞的危害远超普通路径遍历漏洞,其'无需授权 + 完全控制'的特性会引发一系列连锁安全风险:
根据全球安全厂商的监测数据,CVE-2025-64446 的野外攻击呈现出以下明显特征:
testpoint、trader、backdoor_admin 等,便于后续批量控制被攻陷设备;3emixx43、aft3$th4ck、F0rtiW3b@2025 等,部分黑客组织甚至通过密码植入'组织标识',用于区分攻击目标归属;对于因业务连续性要求无法立即升级的设备,可通过以下临时措施阻断攻击路径:
testpoint、trader 等可疑账户,并对所有合法账户重置高强度密码;/api/v2.0/cmdb/system/admin%3f、/../../../../../../cgi-bin/fwb.cgi 等特征字符串的 HTTP 请求;从漏洞的技术本质来看,CVE-2025-64446 并非个例,而是暴露了传统网络设备在**'新旧功能兼容'与'安全机制迭代'之间的矛盾**。未来,类似的'兼容接口漏洞'可能会在更多厂商的设备中被披露,原因在于:
此外,随着漏洞 POC 代码的广泛传播,黑客组织可能会对其进行'功能升级',例如添加权限维持模块(如植入后门程序)、横向渗透模块(如扫描内网其他设备),进一步扩大攻击危害。
CVE-2025-64446 的爆发为企业网络安全建设敲响了警钟,核心启示包括三点:
CVE-2025-64446 是 2025 年度最具破坏力的网络安全漏洞之一,其'无需授权、易利用、高危害'的特性,对全球企业的网络边界防护构成了严重威胁。该漏洞的本质是厂商在功能兼容与安全设计之间的权衡失误,而漏洞的野外大规模利用,则凸显了企业在漏洞应急响应环节的短板。
对于企业而言,当前最紧迫的任务是完成 FortiWeb 设备的补丁升级与安全配置优化;从长远来看,需建立一套覆盖'设备采购 - 安全配置 - 漏洞修复 - 应急响应'的全生命周期安全管理体系,才能真正抵御日益复杂的网络攻击。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online