Fortinet发布了一个关键补丁,修复其FortiWeb产品中的严重漏洞。FortiWeb是一款广泛部署在企业环境中的Web应用防火墙。该漏洞被追踪为CVE-2025-25257,是一个高危的未经身份验证的SQL注入漏洞,攻击者只需发送精心构造的HTTP或HTTPS请求,即可执行未经授权的SQL命令。
Fortinet在其通告中指出:“FortiWeb中的SQL命令处理不当(‘SQL注入’)漏洞[CWE-89],可能允许未经身份验证的攻击者通过精心构造的HTTP或HTTPS请求执行未经授权的SQL代码或命令。”
该问题的CVSS评分为9.6,考虑到该漏洞不需要身份验证即可被利用,因此被视为严重漏洞,特别是对于寻求轻松进入受保护环境的攻击者而言,是一个有吸引力的目标。
该漏洞影响多个版本的FortiWeb,涉及多个主要发布版本:
如果不及时修补,该漏洞可能使攻击者有机会访问敏感数据、修改数据库内容或危害后端系统。
对于无法立即升级的组织,Fortinet建议暂时禁用HTTP/HTTPS管理接口作为应急解决方案:
通告建议:“禁用HTTP/HTTPS管理接口”,因为该接口是主要的攻击入口。
然而,禁用图形用户界面(GUI)接口可能会限制管理操作,因此不应作为长期解决方案。强烈建议组织尽快应用厂商提供的补丁。
发表评论
您还未登录,请先登录。
登录