Dans son avis de sécurité FG-IR-25-910, publié le 14 novembre 2025, Fortinet fait part d’une vulnérabilité critique dans FortiWeb, baptisée CVE-2025-64446, qui ferait l’objet d’exploitations actives depuis plus d’un mois.
Cette faille de type « path traversal » permet à des personnes non authentifiées d’exécuter des commandes administratives sur le pare-feu d’application web de Fortinet et de contourner la politique de sécurité pour prendre le contrôle de l’appareil.
« Nous sommes conscients de cette vulnérabilité et avons activé notre réponse PSIRT et nos efforts de correction dès que nous avons pris connaissance de cette affaire », déclare Fortinet.
La société Defused a été la première à repérer l’exploitation de cette vulnérabilité, dès le 6 octobre dernier. On ne connait cependant pas précisément l’ampleur des attaques et leur date précise de début. Benjamin Harris, PDG et fondateur de watchTowr, confirme qu’un exploit de preuve de concept (PoC) circule depuis début octobre 2025 : « L’équipe de watchTowr constate une exploitation active de ce qui semble être une vulnérabilité corrigée en silence dans le produit FortiWeb de Fortinet », a-t-il déclaré à The Register avant la publication de l’avis de sécurité du 14 novembre.
Plusieurs sociétés de cybersécurité avaient tiré la sonnette d’alarme ces derniers jours, concernant l’exploitation active de cette vulnérabilité corrigée en silence par Fortinet dans la version 8.0.2 de FortiWeb. En effet, les notes de mise à jour de la version 8.0.2 de FortiWeb ne font pas mention de la vulnérabilité.
Malgré le correctif apporté dans la version 8.0.2, les attaques se poursuivent. Fortinet invite désormais à mettre l’application FortiWeb à jour au plus vite dans son avis de sécurité. Benjamin Harris de watchTowr estime le nombre de pare-feu FortiWeb connectés à Internet à au moins 80.000.