Résumé
Le 14 novembre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a alerté sur une faille critique dans Fortinet FortiWeb, un pare-feu applicatif Web utilisé pour protéger des sites et services en ligne.
Référencée sous CVE-2025-64446, cette faille permet à n’importe qui sur Internet, sans avoir besoin de compte, d’envoyer une requête spéciale pour devenir administrateur du système. Le pirate peut alors exécuter n’importe quelle commande, créer des comptes cachés et prendre le contrôle total du dispositif, ce qui rend le réseau vulnérable au vol, à la fraude ou au sabotage numérique.
Solutions
Il est indispensable de mettre à jour FortiWeb dès que possible vers les versions corrigées :
- 8.0.2 ou plus (pour 8.0.x)
- 7.6.5 ou plus (pour 7.6.x)
- 7.4.10 ou plus (pour 7.4.x)
- 7.2.12 ou plus (pour 7.2.x)
- 7.0.12 ou plus (pour 7.0.x)
En attendant la mise à jour, désactiver l’accès HTTP/HTTPS à l’interface d’administration depuis Internet et vérifier qu’aucun nouveau compte administrateur inconnu n’a été ajouté.
La faille est activement exploitée : Inconnu
Détails techniques
Score CVSS : 9.8
Risques : Prise de contrôle totale (exécution de commandes administrateur)
Type de faille : Path traversal [CWE-23], contournement de l’authentification dans l’interface Web,
Exploitable sans identifiants
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- FortiWeb 8.0.0 à 8.0.1
- FortiWeb 7.6.0 à 7.6.4
- FortiWeb 7.4.0 à 7.4.9
- FortiWeb 7.2.0 à 7.2.11
- FortiWeb 7.0.0 à 7.0.11
Documentation
- Bulletin de sécurité Fortinet
fortiguard.com/psirt/FG-IR-25-910
- Détails NIST CVE
nvd.nist.gov/vuln/detail/CVE-2025-64446
- CVE Details
www.cve.org/CVERecord?id=CVE-2025-64446
- CWE-23