Haavoittuvuus16/2025CVSS 9.6CVE-2025-20257 (Ulkoinen linkki)
Fortinet on julkaissut päivityksen FortiWebin kriittiseen haavoittuvuuteen, joka sallii todentamattoman hyökkääjän suorittaa SQL-komentoja muotoiltujen HTTP- tai HTTPS-pyyntöjen kautta. Haavoittuvuuden hyödyntämiskeino on nyt saatavilla ja sitä käytetään laajasti.
Haavoittuvuuden kohde
FortiWebin haavoittuvat versiot ovat:
- FortiWeb 7.6 7.6.0-7.6.3
- FortiWeb 7.4 7.4.0–7.4.7
- FortiWeb 7.2 7.2.0–7.2.10
- FortiWeb 7.0 7.0.0–7.0.10
Mistä on kysymys?
Fortinet on julkaissut tiedotteen haavoittuvuudesta, missä onnistunut hyväksikäyttö useissa FortiWeb-versioissa mahdollistaa tunnistamattomien hyökkääjien suorittaa luvattomia SQL-komentoja muokattujen HTTP/S-pyyntöjen avulla. Haavoittuvuus vaikuttaa merkittävästi luottamuksellisuuteen, eheyttään ja saatavuuteen.
Tämä kriittinen haavoittuvuus mahdollistaa hyökkääjien:
- Suorittaa luvattomia SQL-komentoja ilman tunnistautumista
- Ohittaa käyttöoikeusvalvonnan ja hakea arkaluontoista kokoonpano- tai käyttäjätietoa
- Muokata tai poistaa tietokannan tietueita
- Mahdollisesti edetä koko järjestelmän haltuunottoon
Mitä voin tehdä?
Haavoittuvuuteen on olemassa korjaava päivitys. Päivittämistä suositellaan välittömästi.
Haavoittuvuus on korjattu FortiWebin versioissa:
FortiWeb versio 7.6.4 tai uudempi
FortiWeb versio 7.4.8 tai uudempi
FortiWeb versio 7.2.11 tai uudempi
FortiWeb versio 7.0.11 tai uudempi
Vaihtoehtoisesti sulje HTTP/HTTPS hallintaliittymä käytöstä.