Fortinet has patched multiple vulnerabilities in FortiManager and FortiAnalyzer, including CVE-2025-54820, a stack-based buffer overflow in the fgtupdates service that allows unauthenticated remote attackers to execute arbitrary commands (CVSS 8.1). Other addressed flaws include improper certificate validation enabling man-in-the-middle attacks, a format string vulnerability for authenticated administrators, and weaknesses in multi-factor authentication and login attempt throttling.
Fortinet heeft kwetsbaarheden verholpen in FortiAnalyzer en FortiManager (inclusief cloudvarianten). De kwetsbaarheid met kenmerk CVE-2025-54820 zit in FortiManager. Deze kwetsbaarheid stelt een remote ongeauthenticeerde kwaadwillende in staat om via een stack-gebaseerde buffer overflow in de fgtupdates-service ongeautoriseerde commando's uit te voeren. Verder is er onder andere ook een kwetsbaarheid door onjuiste certificaatvalidatie die man-in-the-middle aanvallen mogelijk maakt, en een format string kwetsbaarheid die remote aanvallers met administratieve privileges in staat stelt om willekeurige code uit te voeren. Bovendien zijn er kwetsbaarheden in de multifactor authenticatie implementatie en in de beperking van overmatige authenticatiepogingen.