FortiWeb惊现高危认证绕过漏洞：模拟功能反成攻击者利器

🔓 Critical 漏洞利用

Fortinet FortiWeb被发现存在严重认证绕过漏洞（CVE-2025-64446），攻击者可利用路径遍历结合CGIINFO头伪造身份，无需密码即可添加管理员账户并完全控制设备。该漏洞已在野被积极利用，影响多个版本。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• 漏洞由两个独立缺陷组成：路径遍历（允许访问任意CGI）和认证绕过（通过CGIINFO头伪造用户身份）。
• 攻击者通过Base64编码的JSON数据（包含username、profname等字段）直接模拟任意用户，包括内置admin账户。
• Fortinet在FortiWeb 8.0.2版本中静默修复了此漏洞，但未在更新日志中提及，导致大量用户未及时防护。

⚔️ 攻击链分析

1. 发送包含路径遍历的HTTP请求，绕过API路径限制访问fwbcgi CGI程序。 2. 在CGIINFO头中提供Base64编码的JSON数据，伪造admin用户身份。 3. 发送包含新管理员账户信息的JSON请求体，利用cgi_process函数添加账户。 4. 使用新建的管理员账户登录，完全控制目标FortiWeb设备。

🚩 失陷指标 (IOC)

• POST /api/v2.0/cmdb/system/admin%3F/../.. ../../../cgi-bin/fwbcgi HTTP/1.1
• CGIINFO: eyJ1c2VybmFtZSI6ICJhZG1pbiIsICJwcm9mbmFtZSI6ICJwcm9mX2FkbWluIiwgInZkb201OiAicm9vdCIsICJsb2dpbm5hbWUiOiAiYWRtaW4ifQ==

🛡️ 缓解建议

• ✅ 立即升级FortiWeb至8.0.2、7.6.5、7.4.10、7.2.12、7.0.12或更高版本。
• ✅ 检查设备日志中是否存在异常的/api/v2.0/cmdb/system/admin路径遍历请求及CGIINFO头。
• ✅ 限制对FortiWeb管理界面的网络访问，仅允许可信IP连接，并启用多因素认证。

涉及漏洞：["CVE-2025-64446"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。