Fortinet naprawia krytyczną lukę umożliwiającą ominięcie uwierzytelniania w FortiPAM i FortiSwitchManager

Fortinet wydał poprawkę dla krytycznej podatności typu authentication bypass (ominięcie uwierzytelniania), oznaczonej jako CVE-2025-49201 i ocenionej na 9.8 w skali CVSS. Luka dotyczy produktów FortiPAM oraz FortiSwitchManager i umożliwia atakującym zdalne obejście procesu logowania bez konieczności posiadania specjalnych uprawnień.

Podatność została odkryta wewnętrznie przez zespół bezpieczeństwa Fortinetu i występuje w:

• FortiPAM w wersjach 1.0 – 1.5.0,
• FortiSwitchManager w wersjach 7.2.0 – 7.2.4.

Na czym polega problem?

Luka wynika ze słabego mechanizmu uwierzytelniania w komponentach WAD/GUI, co umożliwia przeprowadzenie ataku z sieci bez udziału użytkownika. Wykorzystanie tej podatności może prowadzić do nieautoryzowanego wykonania kodu lub poleceń, a w konsekwencji do przejęcia kontroli nad systemem, kradzieży danych lub ruchu lateralnego w sieci.

Zalecane działania

Fortinet opublikował aktualizacje, które należy wdrożyć niezwłocznie:

• Użytkownicy FortiPAM 1.4.0 – 1.4.2 powinni zaktualizować system do wersji 1.4.3 lub wyższej.
• Użytkownicy FortiPAM 1.5.0 – do wersji 1.5.1 lub nowszej.
• Użytkownicy FortiSwitchManager 7.2.0 – 7.2.4 – do wersji 7.2.5 lub nowszej.

Wersje FortiPAM 1.6 i 1.7 oraz FortiSwitchManager 7.0 nie są podatne na ten problem.
Dla starszych wersji FortiPAM 1.0 – 1.3 nie przygotowano poprawek – producent rekomenduje migrację do wspieranej wersji.

Oficjalne zalecenia Fortinet

Dlaczego to ważne?

Urządzenia sieciowe, takie jak te produkowane przez Fortinet, są częstym celem cyberataków ze względu na ich kluczową rolę w infrastrukturze firmowej. Fortinet przypomina, że regularne aktualizacje i stosowanie najnowszych poprawek bezpieczeństwa są podstawowym środkiem ochrony przed atakami.