CVE-2025-25257
CVE-2025-25257
Em resumo
O FortiWeb nas versões 7.0 a 7.6 possui uma falha de injeção SQL que permite atacantes executarem comandos SQL arbitrários sem autenticação. Isso é crítico pois um atacante poderia acessar, modificar ou deletar informações sensíveis do banco de dados.
Detalhe técnico
Vulnerabilidade de injeção SQL no FortiWeb permite que atacantes não autenticados injetem código SQL malicioso por meio de requisições HTTP/HTTPS manipuladas, devido à neutralização inadequada de entrada. As versões afetadas incluem 7.0.0-7.0.10, 7.2.0-7.2.10, 7.4.0-7.4.7 e 7.6.0-7.6.3. A exploração bem-sucedida possibilita acesso e manipulação não autorizada do banco de dados com criticidade CVSS 9.6.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] vulnerability in Fortinet FortiWeb 7.6.0 through 7.6.3, FortiWeb 7.4.0 through 7.4.7, FortiWeb 7.2.0 through 7.2.10, FortiWeb 7.0.0 through 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:C
Produtos afetados
Fortinet · FortiWebPoCs públicas encontradas — 14
githubgithub.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257★ 98cve_referencegithub.com/0xbigshaq/CVE-2025-25257★ 64githubgithub.com/TheStingR/CVE-2025-25257★ 5githubgithub.com/mrmtwoj/CVE-2025-25257★ 1githubgithub.com/segfault-it/CVE-2025-25257★ 1githubgithub.com/aitorfirm/CVE-2025-25257★ 1githubgithub.com/imbas007/CVE-2025-25257★ 1githubgithub.com/0xgh057r3c0n/CVE-2025-25257★ 1githubgithub.com/mr-r3b00t/CVE-2025-25257★ 0githubgithub.com/lytianahkone-boop/cve-2025-25257★ 0githubgithub.com/GarethMSheldon/Fortinet-FortiWeb-Fabric-Connector-CVE-2025-25257-Detection★ 0githubgithub.com/adilburaksen/CVE-2025-25257-Exploit-Tool★ 0cve_referencewww.exploit-db.com/exploits/52473não verificadocve_referencepacketstorm.news/files/id/210193/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →