Nieprawidłowa neutralizacja elementów specjalnych używanych w poleceniu SQL („SQL Injection”) – luka w zabezpieczeniach [CWE-89] w systemie FortiClientEMS może umożliwić nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań HTTP.
FortiClientWindows 7.4.0 do 7.4.4 FortiClientWindows 7.2.0 do 7.2.12 FortiClientWindows 7.0 – wszystkie wersje
Numer CVE
CVE-2025-62676
Krytyczność
6.4/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis
Luka w zabezpieczeniach FortiClient Windows dotycząca nieprawidłowego rozwiązania łącza przed dostępem do pliku może umożliwić lokalnemu atakującemu o niskich uprawnieniach wykonanie dowolnego zapisu pliku z podwyższonymi uprawnieniami za pośrednictwem specjalnie spreparowanych komunikatów nazwanego potoku.
FortiOS 7.6.0 do 7.6.4 FortiOS 7.4.0 do 7.4.9 FortiOS 7.2.0 do 7.2.11 FortiOS 7.0 – wszystkie wersje
Numer CVE
CVE-2025-64157
Krytyczność
6.7/10
CVSS
AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Opis
Luka w zabezpieczeniach FortiGate związana z wykorzystaniem zewnętrznie kontrolowanego ciągu formatującego może umożliwić uwierzytelnionemu administratorowi wykonanie nieautoryzowanego kodu lub poleceń za pośrednictwem specjalnie spreparowanej konfiguracji.
Luka w zabezpieczeniach FortiOS fnbamd polegająca na omijaniu uwierzytelniania przez podstawową słabość może umożliwić niezautoryzowanemu atakującemu ominięcie uwierzytelniania LDAP w ramach zasad Agentless VPN lub FSSO przy określonej konfiguracji serwera LDAP.
FortiAuthenticator 6.6.0 do 6.6.6 FortiAuthenticator 6.5 – wszystkie wersje FortiAuthenticator 6.4 – wszystkie wersje FortiAuthenticator 6.3 – wszystkie wersje
Numer CVE
CVE-2026-21743
Krytyczność
6.8/10
CVSS
AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Opis
Brakująca luka autoryzacji w FortiAuthenticator może umożliwić użytkownikowi z uprawnieniami tylko do odczytu wprowadzanie zmian w uprawnieniach użytkowników lokalnych poprzez przesłanie pliku do niezabezpieczonego punktu końcowego.
FortiOS 7.6.0 FortiOS 7.4.0 do 7.4.9 FortiOS 7.2 – wszystkie wersje FortiOS 7.0 – wszystkie wersje FortiOS 6.4.3 do 6.4.16
Numer CVE
CVE-2025-55018
Krytyczność
5.2/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
Opis
Luka w zabezpieczeniach FortiOS umożliwiająca przemyt żądań HTTP może umożliwić nieuwierzytelnionemu atakującemu przemycenie niezarejestrowanego żądania HTTP przez zasady zapory sieciowej za pośrednictwem specjalnie spreparowanego nagłówka.
FortiOS 7.6.0 do 7.6.1 FortiOS 7.4.0 do 7.4.6 FortiOS 7.2 – wszystkie wersje FortiOS 7.0 – wszystkie wersje FortiOS 6.4 – wszystkie wersje
Numer CVE
CVE-2025-68686
Krytyczność
5.3/10
CVSS
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis
Ujawnienie poufnych informacji nieautoryzowanemu użytkownikowi – luka w zabezpieczeniach FortiOS SSL-VPN może umożliwić zdalnemu, nieuwierzytelnionemu atakującemu ominięcie poprawki opracowanej dla mechanizmu trwałości dowiązań symbolicznych, obserwowanej w niektórych przypadkach po wystąpieniu eksplozji, poprzez zmodyfikowane żądania HTTP. Atakujący musiałby najpierw złamać zabezpieczenia produktu poprzez inną lukę na poziomie systemu plików.
FortiSandbox od 5.0.0 do 5.0.1 FortiSandbox od 4.4.0 do 4.4.7 FortiSandbox 4.2 – wszystkie wersje FortiSandbox 4.0 – wszystkie wersje
Numer CVE
CVE-2025-52436
Krytyczność
7.9/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Luka w zabezpieczeniach FortiSandbox polegająca na nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”) może umożliwić niezautoryzowanemu atakującemu wykonywanie poleceń za pośrednictwem spreparowanych żądań.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny