Kritische Schwachstelle in FortiWeb (CVE-2025-52970)

In mehreren Versionen von Fortinet FortiWeb wurde eine kritische Sicherheitslücke entdeckt. Ursache ist eine fehlerhafte Parameterverarbeitung, die es einem unauthentifizierten, entfernten Angreifer ermöglicht, mit speziell präparierten Requests Administratorrechte zu erlangen – vorausgesetzt, er verfügt über bestimmte nicht-öffentliche Informationen zum Gerät und Zielnutzer.

Betroffene Versionen:

  • 7.6.3 und älter
  • 7.4.7 und älter
  • 7.2.10 und älter
  • 7.0.10 und älter

Fortinet bewertet die Schwachstelle mit einem CVSS-Score von 8.1 (HIGH). Administratoren sollten dringend auf die abgesicherten Versionen 7.0.11, 7.2.11, 7.4.8 und 7.6.4 aktualisieren.

Mehr Infos im Fortinet Advisory.

Related Posts

CVE-2025-52970: Kritische Auth-Bypass-Schwachstelle in FortiWeb entdeckt

Ein Sicherheitsforscher hat eine schwerwiegende Schwachstelle in Fortinets Web Application Firewall FortiWeb offengelegt. Der Exploit, genannt Fort-Majeure, nutzt einen Fehler in der Cookie-Verarbeitung aus und ermöglicht eine vollständige Umgehung der Authentifizierung.

Read More

Forscher kapern Google Gemini über simplen Kalender-Eintrag

Sicherheitsforscher von SafeBreach Labs haben eine neue Angriffsmethode namens Targeted Promptware vorgestellt, die es erlaubt, Googles KI-Assistent Gemini in Workspace-Umgebungen allein durch das Versenden einer manipulierten Google-Kalendereinladung zu kompromittieren. Über diesen Ansatz konnten Angreifer unter anderem Standorte ermitteln, Opfer per Zoom filmen, E-Mails exfiltrieren oder sogar smarte Haushaltsgeräte steuern. Die Technik nutzt sogenannte indirekte Prompt-Injections, die beim Abrufen von Kalender- oder E-Mail-Inhalten durch Gemini unbemerkt ausgeführt werden. Laut Analyse bergen 73 % der getesteten Angriffe ein hochkritisches Risiko. Google hat nach der Meldung im Februar 2025 mehrschichtige Schutzmaßnahmen implementiert, darunter verbesserte Bestätigungen für sensible Aktionen, strikteres URL-Handling und erweiterte Erkennung von Prompt-Injections.

Read More

xAI veröffentlicht versehentlich Hunderttausende Grok-Chatprotokolle – inklusive heikler Inhalte

Laut einer Recherche von Forbes hat Elon Musks KI-Firma xAI ohne Vorwarnung hunderttausende Konversationen seines Chatbots Grok öffentlich gemacht – viele davon sind über Google-Suche frei auffindbar.

Read More