Krytyczna podatność w zabezpieczeniach FortiWeb | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwone ikony lewitujące nad dłońmi osoby w garniturze

Krytyczna podatność w zabezpieczeniach FortiWeb

CSIRT CeZ ostrzega o wykrytej w ostatnim czasie krytycznej podatności bezpieczeństwa w rozwiązaniach FortiWeb, oznaczonej identyfikatorem CVE-2025-25257. Luka ta umożliwia przeprowadzenie ataku typu SQL injection poprzez interfejs graficzny (GUI) urządzenia. Istnieje wysokie ryzyko aktywnego wykorzystywania tej podatności ze względu na niską złożoność ataku oraz brak konieczności uwierzytelnienia.

Szczegóły podatności

Błąd wynika z niewłaściwej obsługi danych wejściowych w GUI FortiWeb. Nieuwierzytelniony atakujący może przesłać specjalnie spreparowane żądanie HTTP lub HTTPS zawierające złośliwe fragmenty kodu SQL. W wyniku braku odpowiedniego filtrowania dane te są przekazywane bezpośrednio do bazy danych.

Identyfikator podatności: CVE-2025-25257

Ocena: 9.6 (Critical)

Podatne wersje oprogramowania FortiWeb

  • 7.6.0 do 7.6.3
  • 7.4.0 do 7.4.7
  • 7.2.0 do 7.2.10
  • 7.0.0 do 7.0.10

Działania zapobiegawcze

Niezwłocznie zaktualizuj oprogramowanie zgodnie z poniższą informacją:

  • Z wersji 7.6.0-7.6.3 do 7.6.4 lub nowszej
  • Z wersji 7.4.0-7.4.7 do 7.4.8 lub nowszej
  • Z wersji 7.2.0-7.2.10 do 7.2.11 lub nowszej
  • Z wersji 7.0.0-7.0.10 do 7.0.11 lub nowszej

Do czasu przeprowadzenia aktualizacji zalecamy wyłączenie interfejsu administracyjnego HTTP/HTTPS, co ograniczy możliwość zdalnego wykorzystania podatności. Należy jednak pamiętać, że jest to rozwiązanie tymczasowe.

Źródło

Szczegółowe informacje dostępne są na stronie producenta.

W przypadku dodatkowych pytań lub potrzeby wsparcia, prosimy o kontakt z zespołem CSIRT CEZ: %20info [at] csirt.cez.gov.pl (info[at]csirt[dot]cez[dot]gov[dot]pl)