CVE-2025-64446

Description

A relative path traversal vulnerability in Fortinet FortiWeb 8.0.0 through 8.0.1, FortiWeb 7.6.0 through 7.6.4, FortiWeb 7.4.0 through 7.4.9, FortiWeb 7.2.0 through 7.2.11, FortiWeb 7.0.0 through 7.0.11 may allow an attacker to execute administrative commands on the system via crafted HTTP or HTTPS requests.

CVSS breakdown

Affected products

• fortinet / fortiweb8.0.1 – 8.0.1
• fortinet / fortiweb8.0.0 – 8.0.0
• fortinet / fortiweb7.6.4 – 7.6.4
• fortinet / fortiweb7.6.3 – 7.6.3
• fortinet / fortiweb7.6.2 – 7.6.2
• fortinet / fortiweb7.6.1 – 7.6.1
• fortinet / fortiweb7.6.0 – 7.6.0
• fortinet / fortiweb7.4.9 – 7.4.9
• fortinet / fortiweb7.4.8 – 7.4.8
• fortinet / fortiweb7.4.7 – 7.4.7
• fortinet / fortiweb7.4.6 – 7.4.6
• fortinet / fortiweb7.4.5 – 7.4.5
• fortinet / fortiweb7.4.4 – 7.4.4
• fortinet / fortiweb7.4.3 – 7.4.3
• fortinet / fortiweb7.4.2 – 7.4.2
• fortinet / fortiweb7.4.1 – 7.4.1
• fortinet / fortiweb7.4.0 – 7.4.0
• fortinet / fortiweb7.2.11 – 7.2.11
• fortinet / fortiweb7.2.10 – 7.2.10
• fortinet / fortiweb7.2.9 – 7.2.9
• fortinet / fortiweb7.2.8 – 7.2.8
• fortinet / fortiweb7.2.7 – 7.2.7
• fortinet / fortiweb7.2.6 – 7.2.6
• fortinet / fortiweb7.2.5 – 7.2.5
• fortinet / fortiweb7.2.4 – 7.2.4
• fortinet / fortiweb7.2.3 – 7.2.3
• fortinet / fortiweb7.2.2 – 7.2.2
• fortinet / fortiweb7.2.1 – 7.2.1
• fortinet / fortiweb7.2.0 – 7.2.0
• fortinet / fortiweb7.0.11 – 7.0.11
• fortinet / fortiweb7.0.10 – 7.0.10
• fortinet / fortiweb7.0.9 – 7.0.9
• fortinet / fortiweb7.0.8 – 7.0.8
• fortinet / fortiweb7.0.7 – 7.0.7
• fortinet / fortiweb7.0.6 – 7.0.6
• fortinet / fortiweb7.0.5 – 7.0.5
• fortinet / fortiweb7.0.4 – 7.0.4
• fortinet / fortiweb7.0.3 – 7.0.3
• fortinet / fortiweb7.0.2 – 7.0.2
• fortinet / fortiweb7.0.1 – 7.0.1
• fortinet / fortiweb7.0.0 – 7.0.0

Exploits & PoCs

• nucleiFortiWeb - Authentication Bypassby DhiyaneshDk,watchTowr,rapid7,defusedcyber

References

• VENDOR_ADVISORYhttps://fortiguard.fortinet.com/psirt/FG-IR-25-910