Vulnerabilità di Fortinet FortiWeb sfruttata per creare utenti admin
Una presunta vulnerabilità di Fortinet FortiWeb sta venendo attivamente sfruttata per creare utenti admin. A riportarlo è Daniel Card, ricercatore di PwnDefend, spiegando che si dovrebbe trattare di unbug di Path Traversal non ancora patchata.Inizialmente il problema era stato individuato dalla compagnia Defused ed è stato dettagliato negli ultimi giorni da Card.
Il ricercatore spiega che, utilizzando uno specifico endpoint (/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi), è possibile inserire un payload nella richiesta POST che crea un utente con privilegi di amministratore, garantendo agli attaccanti accesso persistente al sistema.
“Questo payload sembra crea un account utente locale con livello admin sul dispositivo colpito. Ho un firewall Fortinet in esecuzione e non sono riuscito a confermare l’effetto dell’attacco” afferma Card, aggiungendo però che, analizzando l’endpoint, è altamente probabile che la vulnerabilità sia effettivamente quella presunta.
Dalle analisi effettuate sono emersi una serie di payload che riportavano la creazione di utenti con username quali, tra gli altri, Testpoint, trader1, trader2, test1234point che sembrano per l’appunto indicare una serie di exploit di verifica. In un post su X, i ricercatori WatchTowr hanno in seguito condiviso l’exploit funzionante.
another exploited in-the-wild FortiWeb vuln? It must be Thursday! pic.twitter.com/F9TQgdJQ4l
— watchTowr (@watchtowrcyber) November 13, 2025
Come riporta Bleeping Computer, il team di WatchTowr ha anche rilasciato un tool per aiutare gli amministratori di sistema a identificare i dispositivi vulnerabili. La testata sottolinea che, al momento, non c’è alcun riferimento al bug sul portale di Fortinet dedicato agli avvisi di sicurezza. Bleeping Computer ha contattato direttamente la compagnia per fare chiarezza sulla questione, ma non ha ancora ricevuto risposta.
I prodotti colpiti sono i Fortinet FortiWeb con versione inferiore alla 8.0.2. Agli amministratori di sistema è caldamente consigliato aggiornare il prima possibile i dispositivi vulnerabili e, nel frattempo, assicurarsi che gli endpoint di gestione siano raggiungibili solo entro reti sicure.
Altro in questa categoria