CVE-2025-22862
ŚrednieCVSS 6.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
W FortiOS i FortiProxy występuje podatność na obejście uwierzytelnienia, która może pozwolić uwierzytelnionemu atakującemu na podniesienie swoich uprawnień poprzez wywołanie złośliwej akcji Webhook w komponencie Automation Stitch.
Ocena ryzyka
Atakujący z już uzyskanym dostępem może zyskać wyższe uprawnienia, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji FortiOS i FortiProxy, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] in FortiOS 7.4.0 through 7.4.7, 7.2.0 through 7.2.11, 7.0.6 and above; and FortiProxy 7.6.0 through 7.6.2, 7.4.0 through 7.4.8, 7.2 all versions, 7.0.5 and above may allow an authenticated attacker to elevate their privileges via triggering a malicious Webhook action in the Automation Stitch component.

