Fortinetは2025年11月18日(UTC)、「FortiWeb」に存在するOSコマンドインジェクション脆弱性 CVE-2025-58034 のセキュリティアップデートを公開しました。認証済みユーザーによる低難度の攻撃で基盤OS上で任意コード実行が可能となる不具合で、実際の悪用(in the wild)を観測しています。トレンドマイクロのTrend Research(Jason McFadyen氏)からの報告に基づき公開されました。
脆弱性の概要
FortiWebのゼロデイ脆弱性 CVE-2025-58034 は、API や CLI が受け取る入力の無害化が不十分(CWE-78/OSコマンドインジェクション)であることを悪用し、認証済みの攻撃者が細工した HTTP リクエストまたは CLI コマンドを介して基盤OS上で任意コードを実行できてしまう問題です。
実地での悪用が確認されており、侵害に成功した攻撃者は設定改ざん、特権アカウントの作成、バックドア設置、横展開といった操作が可能になります。
影響を受けるバージョンと修正バージョン
次の系統が影響を受けます。該当範囲にある場合は、表のSolution以降へ直ちに更新してください。
| 系列 | 影響バージョン | 対策(Solution) |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ~ 8.0.1 | 8.0.2 以降に更新 |
| FortiWeb 7.6 | 7.6.0 ~ 7.6.5 | 7.6.6 以降に更新 |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.10 | 7.4.11 以降に更新 |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.11 | 7.2.12 以降に更新 |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.11 | 7.0.12 以降に更新 |
Fortinetのリリース要点
本脆弱性はAPIおよびCLIの処理における特殊文字の不適切な無害化が原因。実際の攻撃での悪用を確認。
脆弱性報告はTrend Research(Trend Micro)Jason McFadyen 氏。
背景:FortiWebをめぐる“連続ゼロデイ”の文脈
Fortinetは直近でも、FortiWebの別ゼロデイ(CVE-2025-64446)を10月28日に静かに修正したことを後日確認しており、CISAのKEVカタログにも追加され、米連邦機関には11月21日までの対処が指示されています。Fortinet製品は、過去にもコマンドインジェクションやSSL VPN関連の欠陥がサイバースパイ/ランサムウェア運用者に優先的に狙われる傾向があるため、パッチ適用の遅延は致命的になりがちです。
CVE-2025-64446との違い
11月14日にもFortinetはFortiWebのゼロデイ脆弱性を公表し CVE-2025-64446(CVSS 9.1) と採番されています。内容は GUI の相対パストラバーサルに起因し、細工した HTTP/HTTPS リクエストで管理コマンドが実行可能になるというものです。
-
攻撃前提の違い
-
CVE-2025-58034(本件): 認証済み 攻撃者がAPI/CLIを通じてOSコマンドを注入し、任意コード実行に至る。
-
CVE-2025-64446: インターネット露出機で未認証のまま管理者レベルの新規アカウントを作成され得る問題として観測報告が相次ぎ、官公庁の注意喚起対象にもなったケース。
-
-
悪用パスの違い
-
58034: 正規ログイン後のAPI/CLI経路でのコマンド実行(ポスト認証の横展開・持続化に直結)。
-
64446: 管理者作成(権限奪取)が目的のHTTP POST連打など、初期侵入の敷居が低い点が特徴。
-
-
防御観点の差分
-
58034: 最小権限・管理面のネットワーク分離・MFA・監査強化が特に有効。
-
64446: 露出面の遮断(管理面の公開禁止)、脆弱機の即時アップデート、既存管理者の厳格監査が肝要。
いずれも「管理プレーンを外部に晒さない」「早期パッチ適用」という基本原則が最重要です。
-








