17 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a waf.
Fortinet publicou correção e recomendações após exploração ativa da falha CVE-2025-58034 em FortiWeb. A vulnerabilidade (CWE-78) permite execução de comandos por atacantes autenticados; patches estão disponíveis para 8.0.2, 7.6.6, 7.4.11, 7.2.12 e 7.0.12.
CVE-2025-9501 é uma falha de command injection no W3 Total Cache que permite execução remota de comandos sem autenticação; o plugin é amplamente usado (~1 milhão de sites). A correção está disponível na versão 2.8.13 e atualização imediata é recomendada, além de revisão de logs e proteção via WAF.
DarkReading relata exploração ativa de uma vulnerabilidade crítica no FortiWeb WAF da Fortinet que permitira execução remota de comandos administrativos sem autenticação; a matéria não lista CVE, versões afetadas nem remediações no trecho disponível.
CISA alertou sobre CVE-2025-64446, uma falha de relative path traversal no FortiWeb da Fortinet que permite execução de comandos administrativos sem autenticação. A vulnerabilidade foi adicionada ao KEV em 14/11/2025 e afeta firmwares até 7.4.7 e 7.6.5; Fortinet recomenda atualização para 7.4.8 ou 7.6.6 e isolamento onde não for possível aplicar patch.
Um PoC público para CVE-2025-64446 (FortiWeb) foi liberado no GitHub; a falha (CVSS 9.8) permite traversal em endpoints CGI e já foi observada em ataques reais. Versões afetadas: 6.3.0–7.4.6. Fortinet recomenda atualizar para 7.4.7+ e segmentar gestão.
SecurityWeek informa exploração ativa por semanas de uma falha crítica no FortiWeb (CVE-2025-64446). Fortinet liberou correções e a CISA adicionou o bug ao catálogo Known Exploited Vulnerabilities (KEV); o artigo não traz contagens de afetados nem detalhes técnicos no snippet disponível.
Uma vulnerabilidade crítica em FortiWeb está sendo explorada em ambiente real para criar contas administrativas sem autenticação; testes mostram que FortiWeb 8.0.1 é afetado enquanto 8.0.2 rejeita o PoC, e Fortinet não havia divulgado um aviso oficial até 13/11/2025.