Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilités critiques dans FortiWeb et FortiSIEM

Score CVSS :
9.8
Date de publication :
19/8/2025
Date de dernière mise à jour :
19/8/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

  • FortiWeb version :
    • 7.6.0 à 7.6.3

  • • 7.4.0 à 7.4.7
  • • 7.2.0 à 7.2.10
  • • 7.0.0 à 7.0.10
  • FortiSIEM version :
    • 5.4.x

  • • 6.1.x
  • • 6.2.x
  • • 6.3.x
  • • 6.4.x
  • • 6.5.x
  • • 6.6.x
  • • 6.7.0 à 6.7.9
  • • 7.0.0 à 7.0.3
  • • 7.1.0 à 7.1.7
  • • 7.2.0 à 7.2.5
  • • 7.3.0 à 7.3.1

    • Prérequis

    • Accès à l’interface d’administration FortiWeb

    • Connaissance d’un nom de compte d’administration FortiWeb

    • Accès au port de monitoring FortiSIEM (7900)

    Risques

    • Vol d’informations sensibles (base de données, mots de passe, données utilisateurs)

    • Exécution de code à distance

    • Dégradation critique de la sécurité du SI

    Résumé

    Deux nouvelles vulnérabilités critiques impactant les produits FortiWeb (WAF) et FortiSIEM ont été publiées le 12/08 par Fortinet, sous les numéros : CVE-2025-52970 et CVE-2025-25256 .

    La vulnérabilité CVE-2025-52970, de score CVSS 8.1, résulte d’un défaut de gestion des cookies, impactant l’interface d’administration Web des produits FortiWeb pouvant être exposés, et qui permet à un attaquant non authentifié, via des requêtes spécialement forgés, de contourner l’authentification et d’usurper l’identité d’un compte administrateur existant.

    L’exploitation de cette CVE pourrait permettre à un attaquant d’exfiltrer la base de données contenant tous les identifiants et secrets mais également de dégrader le fonctionnement du service et donc la protection du SI. Il sera également en mesure de lire et modifier toutes les requêtes http traitées par le WAF et d’en extirper les données sensibles.

    La vulnérabilité CVE-2025-25256, de score CVSS 9.8, résulte d’un défaut dans une fonction de contrôle et nettoyage de donnée , impactant l’interface de monitoring des processus du produit FortiSIEM, et qui permet à un attaquant non authentifié, via des requêtes spécialement forgées, d’exécuter du code malveillant sur le serveur.

    Cette injection de commande sur l’équipement permettrait à l’attaquant de se latéraliser vers les autres serveurs accessibles mais également de dégrader le fonctionnement du SIEM et donc de rendre inefficace toutes mesures de détection d’attaque.

    A l’heure actuelle, aucune trace d’exploitation par des groupes d’attaquants n’a été observée pour la CVE-2025-52970. En revanche, Fortinet signale que des traces d’exploitation on été observées concernant la CVE-2025-25256.

    Une preuve de concept pour les deux CVEs est disponible sur internet et sera rapidement reprise par des attaquants.

    Étant donné le risque associé, nous préconisons de corriger ces vulnérabilités sans plus attendre, surtout si l’interface d’administration FortiWeb ou le port de monitoring FortiSIEM sont exposés sur internet.

    Solutions

    Remédiation :

  • Mettre à jour FortiWeb en version :

    • 7.6.4

    • 7.4.8

    • 7.2.11

    • 7.0.11

  • Mettre à jour FortiSIEM en version :

    • 6.7.10

    • 7.0.4

    • 7.1.8

    • 7.2.6

    • 7.3.2

    • Les versions antérieures sont considérées comme vulnérables. Cependant étant en fin de vie, il est nécessaire de les mettre à jour vers des versions supportées.

    • Mitigation :

    • Désactiver l’interface d’administration FortiWeb

    • Rendre l’interface d’administration FortiWeb accessible uniquement depuis un réseau d’administration

    • Rendre le port de monitoring FortiSIEM accessible uniquement depuis un réseau contrôlé

    Le détail est disponible dans les liens en références.

    Références

    https://fortiguard.fortinet.com/psirt/FG-IR-25-448

    https://pwner.gg/blog/2025-08-13-fortiweb-cve-2025-52970

    https://fortiguard.fortinet.com/psirt/FG-IR-25-152

    https://labs.watchtowr.com/should-security-solutions-be-secure-maybe-were-all-wrong-fortinet-fortisiem-pre-auth-command-injection-cve-2025-25256/

    Restez informés des dernières menaces !

    Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

    Merci pour votre inscription !
    Oups ! Une erreur est survenue lors de l'envoi du formulaire.
    Nos offresNos ExpertisesLe groupe Constellation
    Notre équipeNous rejoindreBlog
    Urgences CyberInformations SOCCommander un Test d'Intrusion
    Conditions Générales de VentesMentions légalesNous contacter
    ©2024 Login Sécurité | Mentions légales et Politique de confidentialité