CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-25257

Krytyczna podatność SQL Injection w Fortinet FortiWeb — obejście uwierzytelnienia

CVSS 9.8v3.1pub. 2025-07-17upd. 2026-02-20

Podatność typu SQL Injection (CWE-89) w Fortinet FortiWeb umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń SQL poprzez spreparowane żądania HTTP/HTTPS. Luka otrzymała ocenę CVSS 9.8 i jest aktywnie wykorzystywana w atakach.

Pokaż oryginał (EN)

An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] vulnerability in Fortinet FortiWeb 7.6.0 through 7.6.3, FortiWeb 7.4.0 through 7.4.7, FortiWeb 7.2.0 through 7.2.10, FortiWeb 7.0.0 through 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.

🤖 Analiza AI
Jak działa

Aplikacja FortiWeb nieprawidłowo neutralizuje znaki specjalne w danych wejściowych przekazywanych do zapytań SQL. Atakujący może wysłać spreparowane żądanie HTTP lub HTTPS zawierające złośliwy payload SQL bez konieczności posiadania jakichkolwiek poświadczeń. Podatność pozwala na wstrzyknięcie i wykonanie nieautoryzowanych poleceń SQL bezpośrednio w warstwie bazy danych urządzenia.

Skutki

Atakujący bez uwierzytelnienia może uzyskać pełen dostęp do danych przechowywanych w bazie, zmodyfikować lub usunąć dane konfiguracyjne oraz potencjalnie przejąć kontrolę nad urządzeniem — co w przypadku urządzenia WAF oznacza kompromitację całej chronionej infrastruktury sieciowej.

Mitygacja

Należy niezwłocznie zaktualizować FortiWeb do wersji zawierających poprawkę zgodnie z komunikatem producenta (FG-IR-25-151) dostępnym pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-151. Do czasu aktualizacji należy rozważyć ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Fortinet FortiWeb w wersjach: 7.6.0–7.6.3, 7.4.0–7.4.7, 7.2.0–7.2.10, 7.0.0–7.0.10

Uwagi

Dla tej podatności dostępne są publiczne exploity: wpis na Exploit-DB (ID 52473), publikacja na PacketStorm (ID 210193) oraz kod proof-of-concept na GitHub (0xbigshaq/CVE-2025-25257). Luka jest ujęta w katalogu CISA KEV jako aktywnie eksploatowana.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fortinet Fortiweb

    APP
    Fortinet
    7.0.0 – 7.0.11 (bez)7.2.0 – 7.2.11 (bez)7.4.0 – 7.4.8 (bez)7.6.0 – 7.6.4 (bez)

CISA KEV — szczegółyi

Dostawcai
Fortinet
Produkti
FortiWeb
Data dodania do KEVi
18 lipca 2025
Termin remediation (USA)i
8 sierpnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującym wytyczniami BOD 22-01 dla usług chmurowych lub przerwij korzystanie z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Fortinet FortiWeb zawiera lukę SQL injection, która może pozwolić nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez specjalnie przygotowane żądania HTTP lub HTTPS.

tłumaczenie AI
Pokaż oryginał (EN)

Fortinet FortiWeb contains a SQL injection vulnerability that may allow an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 8 sierpnia 2025
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-24858CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Fortinet – Auth Bypass przez FortiCloud SSO w wielu produktach

CVE-2025-64446CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Fortinet FortiWeb umożliwiający zdalne wykonanie poleceń

CVE-2025-59719CRITICAL9.8PL ✓ten sam produkt

Fortinet FortiWeb — pominięcie uwierzytelnienia SSO przez spreparowany SAML

CVE-2023-25610CRITICAL9.8PL ✓ten sam produkt

Buffer Underflow w interfejsie administracyjnym Fortinet FortiOS / FortiProxy — RCE bez uwierzytelnienia

CVE-2021-42761CRITICAL9.0ten sam produkt

A condition for session fixation vulnerability [CWE-384] in the session management of FortiWeb versions 6.4 al...