أعلنت شركة Fortinet عن اكتشاف ثغرة أمنية خطيرة في منتجها FortiWeb، مشيرة إلى أن هذه الثغرة قد تم استغلالها بالفعل في هجمات سيبرانية. تثير هذه الواقعة قلقاً بالغاً بشأن أمن الشبكات والتطبيقات.
وتم تحديد الثغرة بالمعرف CVE-2025-58034، وهي تحمل درجة خطورة متوسطة تبلغ 6.7 على مقياس CVSS. تشير التقارير الأولية إلى أن الثغرة تسمح بتنفيذ أوامر غير مصرح بها على النظام الأساسي.
ثغرة FortiWeb الأمنية CVE-2025-58034
بحسب الإشعار الرسمي الصادر عن Fortinet، فإن هذه الثغرة تتعلق بـ “سوء معاملة العناصر الخاصة المستخدمة في أوامر نظام التشغيل (حقن أوامر نظام التشغيل)”، وفقاً لتصنيف CWE-78.
ويمكن لمهاجم مصادق عليه، بعد استغلال هذه الثغرة، تنفيذ تعليمات برمجية عشوائية على النظام المستهدف. يتطلب هذا الاستغلال الناجح أن يكون المهاجم قد نجح بالفعل في المصادقة على النظام بطريقة أخرى، ثم يستخدم الثغرة كخطوة تالية لتنفيذ أوامره.
وقد وفرت Fortinet تحديثات لمعالجة هذه الثغرة في الإصدارات التالية من FortiWeb: من 8.0.0 حتى 8.0.1 (ينصح بالترقية إلى 8.0.2 أو أحدث)، ومن 7.6.0 حتى 7.6.5 (ينصح بالترقية إلى 7.6.6 أو أحدث)، ومن 7.4.0 حتى 7.4.10 (ينصح بالترقية إلى 7.4.11 أو أحدث)، ومن 7.2.0 حتى 7.2.11 (ينصح بالترقية إلى 7.2.12 أو أحدث)، وأخيراً، من 7.0.0 حتى 7.0.11 (ينصح بالترقية إلى 7.0.12 أو أحدث).
التواصل بشأن الثغرات الأمنية
ومن جهة أخرى، كشفت Fortinet عن هذه الثغرة بعد أيام قليلة من تأكيدها لتصحيح ثغرة أخرى خطيرة في FortiWeb، كانت تحمل المعرف CVE-2025-64446 ودرجة خطورة 9.1. إلا أن اللافت للنظر هو أن الشركة لم تصدر إعلاناً رسمياً عن الثغرة الثانية في حينها.
وصرح متحدث باسم Fortinet بأن الشركة قامت بتفعيل إجراءات الاستجابة وتصحيح الأخطاء فور علمها بالمشكلة، وأن هذه الجهود مستمرة. وأكدت الشركة على التزامها بأمن عملائها وشفافيتها.
يأتي هذا في وقت تزايدت فيه المخاوف بشأن أمن الشبكات، حيث أشارت تقارير إلى أن عدم تواصل الشركات المصنعة لبعض التقنيات بشأن الثغرات الأمنية الجديدة قد يمنح المهاجمين أفضلية، بينما يترك المدافعين في وضع غير مؤاتٍ.
وقد أعرب باحثون عن قلقهم من أن التأخير في الإعلان عن الثغرات، أو عدم الإعلان عنها بالشكل المطلوب، يمكن أن يمنع المؤسسات من اتخاذ الإجراءات الوقائية اللازمة. وعلى الرغم من أن Fortinet قامت بتصحيح الثغرات، فإن طريقة التواصل بشأنها تثير تساؤلات حول أفضل الممارسات في مجال الأمن السيبراني.