FortiSwitch: Schwachstelle ermöglicht Passwortänderung ohne Authentifizierung
Am 8. April 2025 veröffentlichte Fortinet einen Sicherheitshinweis (FG-IR-24-435) zu einer schwerwiegenden Schwachstelle in der FortiSwitch-GUI (CVE-2024-48887). Die Lücke betrifft zahlreiche Versionen von FortiSwitch (6.4.0 bis 7.6.0) und erlaubt es einem unauthentifizierten, entfernten Angreifer, Admin-Passwörter über einen manipulierten Aufruf des set_password-Endpoints zu ändern – ohne vorherige Verifizierung.
Der CVSS v3.1 Score liegt bei 9.3, was die Bedrohung als kritisch einstuft.
Die Schwachstelle wurde intern durch Daniel Rozeboom aus dem FortiSwitch-Entwicklungsteam entdeckt. Bislang wurden noch keine Gegenmaßnahmen (Patches) kommuniziert.
Als Workaround wird folgende Änderungen an den Hosts angegeben:
config system admin edit <admin_name> set {trusthost1 | trusthost2 | trusthost3 | trusthost4 | trusthost5 | trusthost6 | trusthost7 | trusthost8 | trusthost9 | trusthost10} <address_ipv4mask> next end
Weitere Informationen: Fortinet Advisory FG-IR-24-435