آسیبپذیری بحرانی SQL Injection در FortiWeb (CVE-2025-25257)
Fortinet یک آسیبپذیری بحرانی SQL Injection پیش از احراز هویت را در رابط گرافیکی FortiWeb (کامپوننت Fabric Connector) شناسایی و برطرف کرد.
شرح آسیبپذیری
این آسیبپذیری (CWE‑89) به دلیل بی اثر سازی ناکافی «کاراکترهای ویژهی SQL» ایجاد شده است و مهاجم میتواند از طریق درخواست HTTP/HTTPS دستورات SQL مخرب اجرا کند.
سطح خطر
نمره CVSS v3 برابر با 9.6 (بحرانی)
نسخههای تحت تأثیر و راهحلها
نسخه های تحت تأثیر نسخه های امن شده
FortiWeb 7.6.0–7.6.3 بهروزرسانی به 7.6.4 یا بعد از آن
FortiWeb 7.4.0–7.4.7 بهروزرسانی به 7.4.8 یا بعد از آن
FortiWeb 7.2.0–7.2.10 بهروزرسانی به 7.2.11 یا بعد از آن
FortiWeb 7.0.0–7.0.10 بهروزرسانی به 7.0.11 یا بعد از آن
توصیهها
بهروزرسانی فوری: دستگاههای آسیبپذیر باید بلافاصله و پس از آزمونهای مناسب به نسخههای امن ارتقا یابند.
در حالت ضرورت و تا قبل از ارتقا: رابط مدیریت HTTP/HTTPS را غیرفعال یا محدود کنید.
رصد و کشف آسیبپذیری
بررسی شبکه برای نسخههای FortiWeb آسیبپذیر، به ویژه مسیر API مرتبط، اهمیت زیادی دارد.
پیادهسازی فرایند مدیریت آسیبپذیری: مطابق توصیه CIS، شامل اسکن دورهای و مدیریت نصب اصلاحیه های امنیتی.
منبع خبر:Tenable