FortiWeb sofre segunda exploração zero day em menos de uma semana

A Fortinet disponibilizou, esta terça-feira, patches para 17 falhas de segurança, destacando-se CVE-2025-58034, um zero day que pode permitir a execução de código arbitrário por atacantes autenticados. Este é o segundo zero day do FortiWeb divulgado publicamente em apenas uma semana, depois de, a 14 de novembro, CVE-2025-64446 ter sido explorado em ataques reais.

A CVE-2025-58034 é descrita como uma vulnerabilidade de injeção de comandos do sistema operativo, explorável através de pedidos HTTP manipulados ou comandos CLI. A Fortinet alerta que “observou a exploração desta falha em ambiente real”, sem detalhar os ataques. As versões afetadas do FortiWeb incluem 8.0.2, 7.6.6, 7.4.11, 7.2.12 e 7.0.12, e a empresa recomenda que as atualizações sejam aplicadas imediatamente.

Em paralelo, a CISA adicionou a vulnerabilidade ao catálogo KEV, exigindo que as agências federais a corrijam no prazo de uma semana. Este prazo reduzido evidencia a gravidade das falhas exploradas, dado que normalmente as correções de vulnerabilidades recém-adicionadas ao KEV têm um prazo de três semanas, segundo a Binding Operational Directive 22-01.

Além do zero day, três das restantes 16 vulnerabilidades divulgadas são de alta severidade, sendo duas no FortiClient para Windows (CVE-2025-47761 e CVE-2025-46373) e uma no FortiVoice (CVE-2025-58692), todas com potencial para execução de código ou comandos arbitrários. Falhas de média e baixa gravidade foram ainda identificadas no FortiExtender, FortiMail, FortiPAM, FortiSandbox, FortiClient Windows, FortiADC, FortiOS, FortiSwitchManager, FortiProxy e FortiWeb.

Das 17 vulnerabilidades corrigidas, apenas CVE-2025-58034 e CVE-2025-64446 do FortiWeb foram observadas a ser exploradas em ambiente real. A Fortinet não indica que qualquer uma das restantes falhas, incluindo as de alta, média ou baixa severidade, tenha sido alvo de ataques até ao momento.