CVE-2025-25257
CriticalSummary
W Fortinet FortiWeb w wersjach od 7.0.0 do 7.6.3 występuje podatność na wstrzykiwanie SQL (SQL Injection), która pozwala nieautoryzowanemu atakującemu na wykonanie nieautoryzowanego kodu SQL lub poleceń poprzez odpowiednio skonstruowane żądania HTTP lub HTTPS.
Risk Assessment
Podatność ta może prowadzić do ujawnienia wrażliwych danych lub pełnej kompromitacji systemu, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację FortiWeb do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.
Original NVD description (English source)
An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] vulnerability in Fortinet FortiWeb 7.6.0 through 7.6.3, FortiWeb 7.4.0 through 7.4.7, FortiWeb 7.2.0 through 7.2.10, FortiWeb 7.0.0 through 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.

