FortiWebの認証バイパス脆弱性で部分的なPoCが公開-CVE-2025-52970 実運用では即時アップデートを

セキュリティニュース

投稿日時: 更新日時:

FortiWebの認証バイパス脆弱性で部分的なPoCが公開-CVE-2025-52970 実運用では即時アップデートを

FortinetのWAF製品「FortiWeb」に、リモートから認証を迂回できる脆弱性(CVE-2025-52970)が見つかりました。研究者 Av i v Y 氏はこの不具合を「FortMajeure」と命名し、技術解説と部分的なPoC(概念実証)を公開。

Fortinetは8月12日に修正版をリリース済みで、早期のアップデートが強く推奨されています。

脆弱性の概要

脆弱性は、FortiWebのセッションCookieを処理する際の範囲外読み取り(out-of-bounds read)が原因で、攻撃者がセッション暗号化/署名に使う秘密鍵を“オールゼロ”に固定できてしまう点にあります。結果として、攻撃者は偽造した認証Cookieを容易に作成でき、任意のアクティブユーザー(管理者含む)になりすましが可能になります。

研究者はREST APIエンドポイント(/api/v2.0/system/status.systemstatus)で管理者権限の“成り済まし”が成立する出力を示しており、

最終的には**/ws/cli/open 経由でCLI接続**まで到達できる完全版のエクスプロイトも公開予定としています(暫定的に時期は未定)。

技術的な要点

脆弱性の核心は、FortiWebがセッション用Cookieを解析する際の“Era”パラメータ検証の甘さにあります。想定外のEra値を与えられると、内部で鍵選択に使うメモリ領域を誤参照し、結果として暗号化と署名の秘密鍵が事実上「既知の固定値」になってしまいます

ここでセッションの暗号化・HMACの両方が骨抜きになります。パスワードのエントロピーが失われるため、攻撃者はセッション情報(ユーザー名や権限など)を含むCookieを正当なものとして偽装でき、管理者を含むアクティブユーザーへのなりすましが成立し得ます。WAFという“入口”の信頼境界でこれが起きる点が脅威の本質です。

悪用に必要な条件

成立には大きく二つの前提があります。第一に、標的となるユーザーのセッションが有効であること。第二に、Cookie内部の小さな数値フィールドを当てる必要があることですが、その探索範囲はごく限定的で、実務上は短時間の試行で到達可能です。しかも“固定鍵化”の副作用で各試行の成否判定が容易なため、総当たりの手間は理屈のスコアほど高くはありません。つまり、条件さえ揃えば短い攻撃ウィンドウで認証バイパスが現実的になる、というのが実運用上の怖さです。

影響バージョンと修正

  • 影響範囲:FortiWeb 7.0〜7.6

  • 修正版:7.0.11+ / 7.2.11+ / 7.4.8+ / 7.6.4+

  • FortiWeb 8.0系は非影響とされています。

  • Fortinetのセキュリティ情報では回避策(ワークアラウンド)は提示されておらず、アップグレードが唯一の有効策です。

参照

https://pwner.gg/blog/2025-08-13-fortiweb-cve-2025-52970