Podatność typu SQL Injection (CWE-89) w Fortinet FortiWeb umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń SQL poprzez spreparowane żądania HTTP/HTTPS. Luka otrzymała ocenę CVSS 9.8 i jest aktywnie wykorzystywana w atakach.
▸ Pokaż oryginał (EN)
An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] vulnerability in Fortinet FortiWeb 7.6.0 through 7.6.3, FortiWeb 7.4.0 through 7.4.7, FortiWeb 7.2.0 through 7.2.10, FortiWeb 7.0.0 through 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.
Aplikacja FortiWeb nieprawidłowo neutralizuje znaki specjalne w danych wejściowych przekazywanych do zapytań SQL. Atakujący może wysłać spreparowane żądanie HTTP lub HTTPS zawierające złośliwy payload SQL bez konieczności posiadania jakichkolwiek poświadczeń. Podatność pozwala na wstrzyknięcie i wykonanie nieautoryzowanych poleceń SQL bezpośrednio w warstwie bazy danych urządzenia.
Atakujący bez uwierzytelnienia może uzyskać pełen dostęp do danych przechowywanych w bazie, zmodyfikować lub usunąć dane konfiguracyjne oraz potencjalnie przejąć kontrolę nad urządzeniem — co w przypadku urządzenia WAF oznacza kompromitację całej chronionej infrastruktury sieciowej.
Należy niezwłocznie zaktualizować FortiWeb do wersji zawierających poprawkę zgodnie z komunikatem producenta (FG-IR-25-151) dostępnym pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-151. Do czasu aktualizacji należy rozważyć ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych adresów IP.
Fortinet FortiWeb w wersjach: 7.6.0–7.6.3, 7.4.0–7.4.7, 7.2.0–7.2.10, 7.0.0–7.0.10
Dla tej podatności dostępne są publiczne exploity: wpis na Exploit-DB (ID 52473), publikacja na PacketStorm (ID 210193) oraz kod proof-of-concept na GitHub (0xbigshaq/CVE-2025-25257). Luka jest ujęta w katalogu CISA KEV jako aktywnie eksploatowana.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFortinet Fortiweb
APPFortinet7.0.0 – 7.0.11 (bez)7.2.0 – 7.2.11 (bez)7.4.0 – 7.4.8 (bez)7.6.0 – 7.6.4 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Fortinet ↗
- Produkti
- FortiWeb
- Data dodania do KEVi
- 18 lipca 2025
- Termin remediation (USA)i
- 8 sierpnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z obowiązującym wytyczniami BOD 22-01 dla usług chmurowych lub przerwij korzystanie z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Fortinet FortiWeb zawiera lukę SQL injection, która może pozwolić nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez specjalnie przygotowane żądania HTTP lub HTTPS.
▸ Pokaż oryginał (EN)
Fortinet FortiWeb contains a SQL injection vulnerability that may allow an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.
Powiązane podatności
Fortinet – Auth Bypass przez FortiCloud SSO w wielu produktach
Path Traversal w Fortinet FortiWeb umożliwiający zdalne wykonanie poleceń
Fortinet FortiWeb — pominięcie uwierzytelnienia SSO przez spreparowany SAML
Buffer Underflow w interfejsie administracyjnym Fortinet FortiOS / FortiProxy — RCE bez uwierzytelnienia
A condition for session fixation vulnerability [CWE-384] in the session management of FortiWeb versions 6.4 al...