一、FortiWeb 路径遍历漏洞(CVE-2025-64446)

1.漏洞分析

a)组件介绍

FortiWeb是一个网页应用防火墙（WAF）是可保护托管的Web 应用程序的攻击‌。

b)漏洞描述

2025年11月17日，深瞳漏洞实验室发现一则FortiWeb组件存在目录遍历漏洞的信息，漏洞编号：CVE-2025-64446，漏洞威胁等级：高危。

FortiWeb 存在路径遍历漏洞，部分 CGI 接口访问控制存在缺陷，攻击者无需进行身份验证，也无需伪造 HTTP 头，仅通过构造特定的 HTTP/HTTPS 请求即可实现目录遍历。借助该漏洞，攻击者可执行创建后门账户、操控设备配置等任意管理命令，最终完全接管受影响设备，进而可能导致企业核心数据泄露、业务中断。目前已发现该漏洞存在在野利用情况。

2.影响范围

目前受影响的FortiWeb版本：

8.0.0 ≤ FortiWeb ≤ 8.0.1

7.6.0 ≤ FortiWeb ≤ 7.6.4

7.4.0 ≤ FortiWeb ≤ 7.4.9

7.2.0 ≤ FortiWeb ≤ 7.2.11

7.0.0 ≤ FortiWeb ≤ 7.0.11

3.解决方案

1)官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将FortiWeb更新到最新版本。

参考链接：https://fortiguard.fortinet.com/psirt/FG-IR-25-910

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。

二、GeoServer XML外部实体注入漏洞(CVE-2025-58360)

1.漏洞分析

1)组件介绍

GeoServer是一个用Java编写的开源服务器，它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计，它使用开源标准发布来自任何主要空间数据源的数据。

2)漏洞描述

2025年11月26日，深瞳漏洞实验室发现一则Open Source Geospatial-GeoServer组件存在XML外部实体注入（XXE）漏洞的信息，漏洞编号：CVE-2025-58360，漏洞威胁等级：高危。

GeoServer 存在XML外部实体注入漏洞，攻击者可通过 WMS（Web Map Service）服务的 GetMap 接口，构造恶意 XML 请求触发漏洞，实现读取服务器任意文件、发起服务端请求伪造等攻击。

2.影响范围

目前受影响的Open Source Geospatial-GeoServer版本：

GeoServer < 2.25.6

2.26.0 ≤ GeoServer < 2.26.2

3.解决方案

1)官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将GeoServe更新到最新版本。

参考链接：

https://github.com/geoserver/geoserver/security/advisories/GHSA-fjf5-xgmq-5525

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。