关于FortiWeb 路径遍历漏洞（CVE-2025-64446）的预警通报

近日，工作发现最新漏洞威胁：FortiWeb 路径遍历漏洞CVE-2025-64446

FortiWeb 存在路径遍历漏洞，部分 CGI 接口访问控制存在缺陷，攻击者无需进行身份验证，也无需伪造 HTTP 头，仅通过构造特定的HTTP/HTTPS 请求即可实现目录遍历。借助该漏洞，攻击者可执行创建后门账户、操控设备配置等任意管理命令，最终完全接管受影响设备，进而可能导致企业核心数据泄露、业务中断。目前已发现该漏洞存在在野利用情况。

目前受影响的FortiWeb版本：
8.0.0 ≤ FortiWeb ≤ 8.0.1
7.6.0 ≤ FortiWeb ≤ 7.6.4
7.4.0 ≤ FortiWeb ≤ 7.4.9
7.2.0 ≤ FortiWeb ≤ 7.2.11
7.0.0 ≤ FortiWeb ≤ 7.0.11

官方已发布最新版本修复该漏洞，建议受影响用户将FortiWeb更新到最新版本。
参考链接：https://fortiguard.fortinet.com/psirt/FG-IR-25-910

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。