В популярном межсетевом экране FortiWeb компании Fortinet обнаружена критическая уязвимость, позволяющая злоумышленникам выполнять произвольные SQL-команды через графический интерфейс устройства без необходимости аутентификации. Проблема получила идентификатор CVE-2025-25257 и оценку критического уровня опасности с баллом CVSS v3 9.6, что указывает на высокий риск полного компрометирования системы.
Уязвимость связана с неправильной обработкой специальных символов в SQL-запросах (классифицируется как CWE-89). Атакующие могут отправлять специально сформированные HTTP/HTTPS-запросы к интерфейсу управления FortiWeb, что позволяет им выполнять произвольные команды в базе данных и потенциально получать полный контроль над устройством. Особую опасность представляет тот факт, что для эксплуатации уязвимости не требуется аутентификация, что значительно упрощает атаку.
Затронутыми оказались несколько веток программного обеспечения FortiWeb, включая версии 7.6.0-7.6.3, 7.4.0-7.4.7, 7.2.0-7.2.10 и 7.0.0-7.0.10. Компания Fortinet уже выпустила обновления, устраняющие проблему: версии 7.6.4, 7.4.8, 7.2.11 и 7.0.11. Организациям, использующим уязвимые версии, настоятельно рекомендуется немедленно применить патчи, чтобы предотвратить возможные атаки.
Временной мерой защиты для тех, кто не может сразу обновить систему, является отключение HTTP/HTTPS-интерфейса администрирования. Однако этот метод значительно ограничивает функциональность управления устройством и должен рассматриваться только как краткосрочное решение.
Уязвимость была обнаружена исследователем Kentaro Kawane из GMO Cybersecurity by Ierae и раскрыта в рамках ответственного процесса координации с Fortinet. Официальная информация о проблеме была опубликована 8 июля 2025 года под внутренним номером FG-IR-25-151.
Эта ситуация вновь поднимает важный вопрос о безопасности самих средств защиты. Когда межсетевые экраны, призванные предотвращать SQL-инъекции, сами становятся уязвимыми для таких атак, это демонстрирует необходимость строгого соблюдения принципов безопасной разработки даже для специализированных защитных решений.
Эксперты по кибербезопасности рекомендуют организациям не только обновлять FortiWeb, но и усиливать мониторинг сетевой активности на предмет подозрительных запросов к интерфейсу управления. Кроме того, стоит рассмотреть возможность ограничения доступа к административным интерфейсам только с доверенных IP-адресов и обязательного использования VPN для удаленного администрирования.
Специалисты Fortinet подчеркивают, что эксплуатация уязвимости возможна только при наличии доступа к интерфейсу управления, поэтому минимизация его доступности извне снижает риски. Тем не менее, учитывая критичность проблемы, затягивать с обновлениями крайне не рекомендуется.
