← voltar
CVE-2025-67862

CVE-2025-67862

CVSS 6 MEDIUMEPSS 0.1%CWE-1244
Em resumo

Uma falha no Fortinet FortiOS e FortiProxy permite que administradores autenticados executem scripts Lua não autorizados através de comandos especialmente preparados. Isso poderia permitir que um admin realize ações não previstas no dispositivo além de suas permissões normais.

Detalhe técnico

CWE-1244 expõe funcionalidades internas de debug através de níveis de acesso inseguros na CLI do FortiOS/FortiProxy. Um admin autenticado pode preparar comandos CLI para executar scripts Lua arbitrários, contornando restrições previstas. O ataque requer credenciais admin válidas e acesso à interface CLI; o impacto inclui execução de código não autorizado e possível comprometimento do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An Internal Asset Exposed to Unsafe Debug Access Level or State vulnerability [CWE-1244] vulnerability in Fortinet FortiOS 7.6.0 through 7.6.2, FortiOS 7.4.0 through 7.4.7, FortiOS 7.2.0 through 7.2.10, FortiOS 7.0.0 through 7.0.16, FortiOS 6.4 all versions, FortiProxy 7.6.0 through 7.6.3, FortiProxy 7.4.0 through 7.4.10, FortiProxy 7.2.0 through 7.2.14, FortiProxy 7.0 all versions may allow an authenticated admin to execute lua scripts via crafted CLI commands.
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
Produtos afetados
Fortinet · FortiOSFortinet · FortiProxy

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://fortiguard.fortinet.com/psirt/FG-IR-26-143