Krytyczna luka SQL Injection w Fortinet FortiWeb

Krytyczna luka SQL Injection w Fortinet FortiWeb umożliwia atak bez uwierzytelnienia. Zalecane szybkie aktualizacje i monitorowanie systemów.
CVE-2025-25257CVSS 9.8CISA KEVFirewall

Krytyczna luka SQL Injection w Fortinet FortiWeb

Krytyczna luka SQL Injection w Fortinet FortiWeb umożliwia atak bez uwierzytelnienia. Zalecane szybkie aktualizacje i monitorowanie systemów.

CVSS
9.8 CRITICAL
EPSS
99.88%
Aktywnie wykorzystywana
tak
Produkt
FortiWeb

Co wiadomo

W produktach Fortinet FortiWeb w wersjach od 7.0.0 do 7.6.3 wykryto krytyczną lukę SQL Injection, umożliwiającą nieautoryzowane wykonanie poleceń SQL przez atakującego bez uwierzytelnienia. Luka ta wynika z niewłaściwego neutralizowania specjalnych elementów w zapytaniach SQL przesyłanych przez HTTP/HTTPS.

Wpływ biznesowy

Luka ta może pozwolić atakującym na przejęcie kontroli nad bazą danych FortiWeb, co może skutkować wyciekiem danych, modyfikacją konfiguracji lub całkowitym przejęciem systemu. Operatorzy infrastruktury powinni traktować tę podatność jako krytyczną, zwłaszcza w środowiskach produkcyjnych, gdzie FortiWeb pełni funkcję zapory aplikacyjnej.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i poprawek od producenta Fortinet dla wersji FortiWeb od 7.0.0 do 7.6.3. W międzyczasie należy ograniczyć ekspozycję urządzeń na zewnętrzne sieci, monitorować logi pod kątem podejrzanych zapytań SQL oraz priorytetowo wdrożyć dostępne poprawki bezpieczeństwa.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS