Fortinet ha lanzado soluciones para una falla de seguridad crítica que impacta Fortiweb que podría permitir que un atacante no autenticado ejecute comandos de base de datos arbitrarios en instancias susceptibles.
Seguimiento como CVE-2025-25257, la vulnerabilidad conlleva una puntuación CVSS de 9.6 de un máximo de 10.0.
«Una neutralización inadecuada de elementos especiales utilizados en un comando SQL (‘inyección SQL’) (CWE-89) en Fortiweb puede permitir que un atacante no autenticado ejecute el código o comandos SQL inautorizados a través de solicitudes HTTP o HTTPS diseñadas», dijo Fortinet en un asesoramiento liberado esta semana.
La deficiencia impacta las siguientes versiones –
- Fortiweb 7.6.0 a 7.6.3 (actualizar a 7.6.4 o superior)
- FortiWeb 7.4.0 a 7.4.7 (actualizar a 7.4.8 o superior)
- FortiWeb 7.2.0 a 7.2.10 (actualizar a 7.2.11 o superior)
- FortiWeb 7.0.0 a 7.0.10 (actualizar a 7.0.11 o superior)
Kentaro Kawane de GMO CyberSecurity, a quien recientemente se le atribuyó informar un conjunto de fallas críticas en los servicios de identidad de Cisco y el conector de identidad pasivo de ISE (CVE-2025-20286, CVE-2025-20281 y CVE-2025-20282), se ha reconocido para descubrir el problema.
En un análisis publicado hoy, WatchToWr Labs dijo que el problema está enraizado en una función llamada «get_fabric_user_by_token» asociado con el componente del conector de tela, que actúa como un puente entre Fortiweb y otros productos Fortinet.
La función, a su vez, se invoca desde otra función llamada «Fabric_access_check», que se llama desde tres puntos finales de API diferentes: «/API/Fabric/Device/Status,» «/API/V (0-9)/Fabric/Widget/(AZ)+,» y «/API/V (0-9)/Fabric/Widget».
El problema es que la entrada controlada por el atacante, aprobada a través de un encabezado de autorización de token de portador en una solicitud HTTP especialmente diseñada, se pasa directamente a una consulta de base de datos SQL sin desinfectación adecuada para asegurarse de que no sea dañino y no incluya ningún código malicioso.
El ataque se puede extender aún más al incrustar una selección … en la declaración OUTFILE para escribir los resultados de la ejecución de comandos a un archivo en el sistema operativo subyacente aprovechando el hecho de que la consulta se ejecuta como el usuario «MySQL».
«La nueva versión de la función reemplaza la consulta de cuerda de formato anterior con declaraciones preparadas, un intento razonable de prevenir la inyección sencilla de SQL», dijo el investigador de seguridad Sina Kheirkhah.
Como soluciones temporales hasta que se puedan aplicar los parches necesarios, se recomienda a los usuarios que deshabiliten la interfaz administrativa HTTP/HTTPS.
Con fallas en los dispositivos Fortinet que han sido explotados por actores de amenaza en el pasado, es esencial que los usuarios se muevan rápidamente para actualizar la última versión para mitigar los riesgos potenciales.