← volver
CVE-2025-25257

CVE-2025-25257

CVSS 9.6 CRITICALEPSS 96.7%● KEVCWE-89
En resumen

FortiWeb en versiones 7.0 a 7.6 contiene una vulnerabilidad de inyección SQL que permite a atacantes ejecutar comandos SQL arbitrarios sin autenticación. Esto es crítico porque un atacante podría acceder, modificar o eliminar información sensible de la base de datos.

Detalle técnico

Vulnerabilidad de inyección SQL en FortiWeb que permite a atacantes no autenticados inyectar código SQL malicioso mediante solicitudes HTTP/HTTPS manipuladas debido a neutralización inadecuada de entrada. Las versiones afectadas incluyen 7.0.0-7.0.10, 7.2.0-7.2.10, 7.4.0-7.4.7 y 7.6.0-7.6.3. La explotación exitosa posibilita acceso y manipulación no autorizada de la base de datos con criticidad CVSS 9.6.

Resumen generado y traducido por IA a partir de la descripción oficial.
An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] vulnerability in Fortinet FortiWeb 7.6.0 through 7.6.3, FortiWeb 7.4.0 through 7.4.7, FortiWeb 7.2.0 through 7.2.10, FortiWeb 7.0.0 through 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:C
Productos afectados
Fortinet · FortiWeb
PoCs públicas encontradas14
githubgithub.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-2525798cve_referencegithub.com/0xbigshaq/CVE-2025-2525764githubgithub.com/TheStingR/CVE-2025-252575githubgithub.com/mrmtwoj/CVE-2025-252571githubgithub.com/segfault-it/CVE-2025-252571githubgithub.com/aitorfirm/CVE-2025-252571githubgithub.com/imbas007/CVE-2025-252571githubgithub.com/0xgh057r3c0n/CVE-2025-252571githubgithub.com/mr-r3b00t/CVE-2025-252570githubgithub.com/lytianahkone-boop/cve-2025-252570githubgithub.com/GarethMSheldon/Fortinet-FortiWeb-Fabric-Connector-CVE-2025-25257-Detection0githubgithub.com/adilburaksen/CVE-2025-25257-Exploit-Tool0cve_referencewww.exploit-db.com/exploits/52473no verificadocve_referencepacketstorm.news/files/id/210193/no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://fortiguard.fortinet.com/psirt/FG-IR-25-151https://github.com/0xbigshaq/CVE-2025-25257https://packetstorm.news/files/id/210193/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-25257https://www.exploit-db.com/exploits/52473