Уразливість SQL-ін'єкції в Fortinet FortiWeb

Виявлено критичну уразливість SQL-ін'єкції в Fortinet FortiWeb (CVE-2025-25257). Рекомендується термінове оновлення та посилення безпеки.
CVE-2025-25257CVSS 9.8CISA KEVFirewall

Уразливість SQL-ін'єкції в Fortinet FortiWeb

Виявлено критичну уразливість SQL-ін'єкції в Fortinet FortiWeb (CVE-2025-25257). Рекомендується термінове оновлення та посилення безпеки.

CVSS
9.8 CRITICAL
EPSS
99.88%
Активно використовується
так
Продукт
FortiWeb

Що відомо

Виявлено критичну уразливість SQL-ін'єкції в Fortinet FortiWeb версій 7.0.0–7.6.3, що дозволяє неавторизованому зловмиснику виконувати небажані SQL-команди через спеціально сформовані HTTP/HTTPS запити. Ця вразливість має високий рівень критичності (CVSS 9.8).

Бізнес-вплив

Уразливість може призвести до несанкціонованого доступу до баз даних, викрадення або модифікації даних, що створює серйозні ризики для безпеки інформації та цілісності систем. Власники інфраструктури повинні розглядати цю проблему як пріоритетну для усунення, щоб запобігти потенційним атакам і втратам.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від Fortinet для FortiWeb версій 7.0.0–7.6.3 та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до уразливих сервісів, посилити моніторинг логів на ознаки атак SQL-ін'єкції та провести аудит безпеки. Важливо також впровадити заходи з мінімізації впливу, такі як фільтрація трафіку та сегментація мережі.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки