概述
FortiWeb 产品中存在一个“使用密码哈希代替密码进行身份验证”的漏洞 [CWE-836]。该漏洞可能允许未经身份验证的攻击者通过特制的 HTTP/HTTPS 请求,使用哈希值代替密码进行身份验证。
受影响版本及解决方案
| 版本 | 受影响范围 | 解决方案 |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 至 8.0.1 | 升级至 8.0.2 或更高版本 |
| FortiWeb 7.6 | 7.6.0 至 7.6.5 | 升级至 7.6.6 或更高版本 |
| FortiWeb 7.4 | 7.4.0 至 7.4.10 | 升级至 7.4.11 或更高版本 |
| FortiWeb 7.2 | 7.2.0 至 7.2.11 | 升级至 7.2.12 或更高版本 |
| FortiWeb 7.0 | 7.0.0 至 7.0.11 | 升级至 7.0.12 或更高版本 |
致谢
该漏洞由 FortiWeb 开发团队内部发现并报告。
时间线
- 2025-12-09:首次发布
漏洞详情
- IR 编号: FG-IR-25-984
- 发布日期: 2025年12月9日
- 受影响组件: GUI
- 严重等级: 中
- CVSSv3 评分: 4.4
- 影响: 权限提升
- CVE ID: CVE-2025-64471