Uma ferramenta de prova de conceito (PoC) para explorar a vulnerabilidade CVE-2025-64446 foi disponibilizada publicamente no GitHub. Essa vulnerabilidade, que afeta dispositivos FortiWeb da Fortinet, envolve uma falha crítica de travessia de caminho que já foi observada em ataques reais, permitindo acesso não autorizado a endpoints CGI sensíveis.
Pesquisadores de segurança alertam que a disponibilidade da ferramenta pode acelerar as tentativas de exploração contra sistemas sem as devidas atualizações em todo o mundo.
A vulnerabilidade CVE-2025-64446 tem como alvo o componente de firewall de aplicativos da web (WAF) do FortiWeb, permitindo que invasores ignorem os controles de acesso e manipulem contas de usuário por meio de técnicas de travessia de diretório.
Descoberta no início deste ano, a falha decorre da validação inadequada de entrada no mecanismo de manipulação de CGI, permitindo a execução remota de código em determinadas configurações.
De acordo com o comunicado da Fortinet, as versões afetadas variam de 6.3.0 a 7.4.6, com relatos de exploração em ambiente real já em outubro de 2025 por empresas de inteligência de ameaças que monitoram fóruns da dark web e registros de resposta a incidentes.
A gravidade da vulnerabilidade é classificada como CVSS 9.8, indicando seu potencial para causar um impacto generalizado em empresas que dependem do FortiWeb para proteção do tráfego da web.
A prova de conceito (PoC), desenvolvida pelo usuário sxyrxyy do GitHub e compartilhada no repositório “CVE-2025-64446-FortiWeb-CGI-Bypass-PoC”, fornece um script simples baseado em Python para testar e explorar a falha.
Projetada para testes de segurança autorizados, a ferramenta requer configuração mínima: os usuários simplesmente instalam as dependências através do comando “pip install -r requirements.txt” antes de executar o script de exploração.
Para verificação de vulnerabilidades, o comando “python3 exploit.py -t <ip_do_alvo> –check” sonda o alvo sem causar danos, confirmando se o sistema é suscetível a ataques de travessia.
No modo de exploração, o comando “python3 exploit.py -t <ip_alvo> –exploit” utiliza o endpoint CGI para criar ou modificar contas de usuário administrativas, com o nome de usuário “sxy” e a senha padrão “sxyrxyadmin1!”.
As opções avançadas aumentam a flexibilidade da ferramenta para testes de penetração. Os parâmetros personalizados permitem especificar nomes de usuário, senhas, nomes de perfil (padrão: prof_admin), instâncias VDOM (padrão: root) e nomes de login (padrão: admin).
Para operações em lote, o script suporta o carregamento de múltiplos alvos a partir de um arquivo como targets.txt, permitindo varreduras em intervalos de IP como 192.168.1.100 a 192.168.1.102.
A configuração de porta padrão é 443 para HTTPS, mas o parâmetro “–http” alterna para tráfego não criptografado, e a opção “–testpoint-name” define o nome padrão de criação de usuário como “Testpoint”.
Especialistas enfatizam a natureza ambígua da ferramenta: embora seja inestimável para avaliações defensivas, seu lançamento público amplifica as ameaças a implantações obsoletas do FortiWeb em setores como o financeiro e o de saúde.
A Fortinet recomenda a aplicação imediata do patch para a versão 7.4.7 ou posterior, juntamente com a segmentação da rede para mitigar os riscos de movimentação lateral. O aviso do repositório enfatiza o uso apenas em sistemas próprios ou autorizados, em conformidade com as normas de divulgação responsável.
