公布日期：2025-11-19 發布單位： 資訊科  
資安業者Fortinet公布網頁應用程式防火牆（WAF）系統FortiWeb重大漏洞CVE-2025-64446受到高度關注，有多家資安業者指出，相關的漏洞利用攻擊，很可能在一個月前就出現。

基本上，駭客入侵企業內部環境的主要管道，其中之一就是可透過網際網路存取的應用系統，過往最常見的目標是郵件伺服器，但也有針對防火牆或其他網路設備下手的情況，而最近有專門針對網頁應用程式防火牆（WAF）漏洞CVE-2025-64446的攻擊行動，引起資安界高度關注，有多家資安業者調查此事並公布他們的發現。這起事故受到矚目的原因，主要很可能是因為歹徒針對WAF下手並不常見，然而這類系統若是遭駭，攻擊者不僅有機會入侵網頁應用程式，甚至進一步存取受害企業的內部環境。

上個月被美國列入已遭利用的漏洞名單（KEV）的資安漏洞CVE-2025-24893，後續發展也受到矚目，資安業者VulnCheck警告，有多組人馬嘗試加入利用漏洞的行列，其中最值得留意的部分，是殭屍網路RondoDox企圖綁架XWiki伺服器。

11月14日資安業者Fortinet發布資安公告，指出旗下的網頁應用程式防火牆（WAF）系統FortiWeb，存在重大層級的資安漏洞CVE-2025-64446，該弱點出現於圖形使用者介面（GUI），為路徑遍歷漏洞，未經授權的攻擊者能透過特製的HTTP或HTTPS請求，於目標系統執行管理命令，CVSS風險為9.1分（但該漏洞在美國國家漏洞資料庫登記為9.8分）。該公司表示，此漏洞已被用於實際攻擊，呼籲IT人員應儘快套用新版軟體。

有資安新聞媒體指出，Fortinet察覺該漏洞的原因，源自其他資安業者一個月前發現的攻擊行動。 根據Bleeping Computer的報導，最早於10月6日威脅情報業者Defused透露，他們偵測到不尋常的漏洞利用活動，攻擊者透過JSON Web Token（JWT）有效酬載意圖建立管理者帳號，過程中利用未知的漏洞，疑似是CVE-2022-40684的變形。

後續有多家資安業者跟進調查此事，並於近日公布結果。例如：資安業者Orange Cyberdefense確認此漏洞遭到大規模利用、資安業者Rapid7發現駭客論壇有人疑似兜售漏洞；資安業者watchTowr對於攻擊者利用的弱點進行分析，指出該漏洞實際上由兩個部分組合而成，一個是出現在URI的路徑遍歷漏洞，另一個為HTTP請求標頭內容造成的身分驗證繞過漏洞。

資料來源：https://www.ithome.com.tw/news/172285