19. Dezember 2025
Beschreibung
In mehreren Fortinet-Produkten existieren kritische Sicherheitslücken
im FortiCloud SSO-Login-Mechanismus. Die Schwachstellen ermöglichen es
unauthentifizierten Angreifern, die FortiCloud SSO-Authentifizierung
durch manipulierte SAML-Nachrichten zu umgehen und administrativen
Zugriff zu erlangen. Die Lücken werden bereits aktiv ausgenutzt.
CVE-Nummer(n): CVE-2025-59718, CVE-2025-59719
CVSS Base Score: 9.1
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und
ohne Authentifizierung die FortiCloud SSO-Anmeldung umgehen und vollen
administrativen Zugriff auf betroffene Geräte erlangen. Die
Schwachstellen werden bereits aktiv ausgenutzt. Sicherheitsforscher von
Arctic Wolf und Huntress haben beobachtet, dass Angreifer nach
erfolgreicher Kompromittierung Gerätekonfigurationen exportieren. Da
Konfigurationsdateien gehashte Anmeldedaten enthalten können, besteht
die Gefahr, dass diese offline geknackt werden.
Hinweis: Die FortiCloud SSO-Login-Funktion ist in den
Werkseinstellungen standardmäßig deaktiviert. Wenn jedoch ein
Administrator das Gerät über die GUI bei FortiCare registriert, wird
FortiCloud SSO automatisch aktiviert, sofern die Option "Allow
administrative login using FortiCloud SSO" nicht manuell
deaktiviert wird.
Betroffene Systeme
* FortiOS
+ 7.6.0 bis 7.6.3
+ 7.4.0 bis 7.4.8
+ 7.2.0 bis 7.2.11
+ 7.0.0 bis 7.0.17
* FortiProxy
+ 7.6.0 bis 7.6.3
+ 7.4.0 bis 7.4.10
+ 7.2.0 bis 7.2.14
+ 7.0.0 bis 7.0.21
* FortiSwitchManager
+ 7.2.0 bis 7.2.6
+ 7.0.0 bis 7.0.5
* FortiWeb
+ 8.0.0
+ 7.6.0 bis 7.6.4
+ 7.4.0 bis 7.4.9
Nicht betroffen: FortiOS 6.4, FortiWeb 7.0, FortiWeb 7.2
Abhilfe
Als temporärer Workaround kann die FortiCloud SSO-Login-Funktion
deaktiviert werden:
* Über GUI: System -> Settings -> "Allow administrative login using
FortiCloud SSO" auf "Off" setzen
* Über CLI:
```
config system global
set admin-forticloud-sso-login disable
end
```
Falls eine Kompromittierung vermutet wird, sollten alle
Firewall-Anmeldedaten zurückgesetzt werden, da gehashte Credentials
aus exportierten Konfigurationen offline geknackt werden könnten.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Zusätzlich wird empfohlen, den Zugriff auf Management-Interfaces von
Firewalls und VPN-Appliances auf vertrauenswürdige interne Netzwerke zu
beschränken.
__________________________________________________________________
Informationsquelle(n):
Fortinet PSIRT Advisory FG-IR-25-647 (englisch):
https://www.fortiguard.com/psirt/FG-IR-25-647
Arctic Wolf Security Bulletin (englisch):
[101]https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-ss…
following-disclosure-cve-2025-59718-cve-2025-59719/
VulnCheck Blog (englisch):
https://www.vulncheck.com/blog/forticloud-sso-login-bypass
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
05. Dezember 2025
Beschreibung
Diese Woche wurden kritische Sicherheitslücken in den React Server
Components veröffentlicht. Diese Schwachstellen ermöglichen
unauthentifizierte Remote-Code Execution sofern Anwendungen die
betroffenen Server Components einsetzen. [100]Mittlerweile wird diese
Sicherheitslücke aktiv ausgenutzt um verwundbare Installationen zu
kompromittieren. Proof-of-Concept Exploits sind bereits öffentlich
zugänglich.
CVE-Nummer(n): CVE-2025-55182
CVSS Base Score: 10.0
Auswirkungen
Ein:e nicht authentifizierte:r Angreifer:in kann über das Netzwerk
speziell präparierte Anfragen an betroffene Installationen senden, die
eine unsichere Objekt-Deserialisierung auslösen. Dies führt zur
Ausführung von beliebigem Code mit auf dem betroffenen Server.
Betroffene Systeme
Anwendungen die die Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0
folgender Pakete einsetzen:
* react-server-dom-webpack
* react-server-dom-parcel
* react-server-dom-turbopack
Diese Pakete werden zumindest auch in folgenden Frameworks
ausgeliefert:
* next,
* react-router,
* waku,
* @parcel/rsc,
* @vitejs/plugin-rsc
* rwsdk
Gleichzeitig weisen die Entwickler:innen von React darauf hin, dass nur
Anwendungen verwundbar sind, die auf einem Server laufen und mithilfe
eines Frameworks mit React Server Components realisiert wurden. Ein
pauschales Sicherheitsrisiko für alle React-Anwendungen ist nicht
gegeben.
Abhilfe
React hat Softwareupdates veröffentlicht, welche die Sicherheitslücken
beheben. Details zum Update von React sowie auch anderer betroffener
Frameworks, welche die betroffenen Komponenten mitausliefern, finden
sich im [101]Advisory von React.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Sollten Sie Opfer eines Angriffes unter Ausnutzung dieser Lücke/n
geworden sein bitten wir Sie uns zu informieren.
__________________________________________________________________
Informationsquelle(n):
Advisory React
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-…
Blog-Artikel AWS:
https://aws.amazon.com/de/blogs/security/china-nexus-cyber-threat-groups-ra…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien