(Fortinet) FortiWeb WAF Zero-Day: ช่องโหว่ยอมให้ผู้ร้าย ยึด/สร้าง บัญชีแอดมินได้ (บังเอิญ patch ใน version 8.0.2 ???)

นิตยสารออนไลน์ The Hacker News รายงานข่าวว่า

บริษัทวิจัยการหลอกลวงทางไซเบอร์ชื่อ Defused ได้ตีพิมพ์ “โปรแกรมตัวอย่าง (Proof-of-Concept—PoC)”

ที่ใช้เจาะช่องโหว่ในผลิตภัณฑ์ชอง Fortinet คือ

FortiWeb WAF

ที่ยอมให้ผู้ร้ายยึดบัญชีแอดมินได้ และมักถูกใช้ในการสร้างบัญชีแอดมิน(ซ่อนสำรอง)เพื่อใช้ในการโจมตีแบบยั่งยืน

ดูเหมือนว่า version 8.0.2 จะ “บังเอิญ” แก้ปัญหานี้

แต่ยังไม่ได้รับการยืนยัน ว่าเป็นเจตนาของผู้ผลิตหรือไม่

*** จึงแนะนำให้ติดตามข่าวสาร และเฝ้าระวังระบบเป็นพิเศษ ในระหว่างนี้ ***

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านข่าวฉบับเต็มของ The Hacker News ได้ที่:

https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html

อ่านรายละเอียดการโจมตีจาก Rapid7 ได้ที่:

https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild

อ่านรายละเอียดการโจมตีจาก PWNdefend ได้ที่:

Suspected Fortinet Zero Day Exploited in the Wild

อ่านรายละเอียด Proof-of-Concept ของ watchTowr ได้ที่:

https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass