一、 漏洞 CVE-2025-52970 基础信息
漏洞信息
# N/A
## 概述
Fortinet FortiWeb 存在参数处理不当漏洞,攻击者可利用该漏洞在未认证的情况下通过特制请求获得设备的管理员权限。
## 影响版本
- FortiWeb 7.6.3 及之前版本
- FortiWeb 7.4.7 及之前版本
- FortiWeb 7.2.10 及之前版本
- FortiWeb 7.0.10 及之前版本
## 细节
该漏洞是由于设备对部分参数处理不当所致。攻击者若掌握设备相关的非公开信息及目标用户信息,可构造特殊请求,绕过认证机制。
## 影响
未认证的远程攻击者可利用此漏洞获取 FortiWeb 设备的管理员权限,从而完全控制设备,造成严重安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A improper handling of parameters in Fortinet FortiWeb versions 7.6.3 and below, versions 7.4.7 and below, versions 7.2.10 and below, and 7.0.10 and below may allow an unauthenticated remote attacker with non-public information pertaining to the device and targeted user to gain admin privileges on the device via a specially crafted request.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
参数问题
来源:美国国家漏洞数据库 NVD
漏洞标题
Fortinet FortiWeb 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。 Fortinet FortiWeb 7.6.3及之前版本、7.4.7及之前版本、7.2.10及之前版本和7.0.10及之前版本存在安全漏洞,该漏洞源于参数处理不当,可能导致权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-52970 的公开POC
三、漏洞 CVE-2025-52970 的情报信息
四、漏洞 CVE-2025-52970 的评论
暂无评论