2025-2858: FortiOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-10-15 17:07)

Neues Advisory

Version 2 (2025-10-16 17:34)

Fortinet hat zusätzliche drei Schwachstellen in FortiOS adressiert. Ein Angreifer kann eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

FortiNet

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Fortinet informiert über die Schwachstellen in FortiOS in den Versionszweigen 7.6, 7.4, 7.2, 7.0 und 6.4 und stellt die fehlerbereinigte Version 7.6.4 oder höher als Sicherheitsupdates bereit. Einzelne Schwachstellen werden auch durch bereitgestellte Updates in niedrigeren Versionszweigen behoben.

Für die Schwachstelle CVE-2025-25255 ist zusätzlich zu einem Update auf 7.6.4 notwendig, die Einstellung 'domain fonting' auf 'strict' zu setzen.

Schwachstellen:

CVE-2023-46718

Schwachstelle in FortiOS ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-25252

Schwachstelle in FortiOS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-25253

Schwachstelle in FortiOS ermöglicht u. a. Ausspähen von Informationen

CVE-2025-25255

Schwachstelle in FortiOS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-31366

Schwachstelle in FortiOS ermöglicht Cross-Site-Scripting-Angriff

CVE-2025-31514

Schwachstelle in FortiOS ermöglicht Ausspähen von Informationen

CVE-2025-47890

Schwachstelle in FortiOS ermöglicht Darstellen falscher Informationen

CVE-2025-54822

Schwachstelle in FortiOS ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2025-57740

Schwachstelle in FortiOS ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-58325

Schwachstelle in FortiOS ermöglicht Privilegieneskalation

CVE-2025-58903

Schwachstelle in FortiOS ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.