This post is also available in: Português
A Fortinet lançou atualizações de segurança para corrigir uma falha crítica no FortiWeb, identificada como CVE-2025-25257. Classificada com severidade crítica (CVSS 9.6), essa vulnerabilidade permite a um invasor não autenticado explorar o sistema por meio de uma injeção SQL que pode resultar em execução remota de código (RCE) no contexto do usuário root.
Esse tipo de falha representa um risco elevado para ambientes que utilizam o FortiWeb como parte de sua estratégia de segurança, uma vez que pode ser explorada remotamente sem necessidade de credenciais.
Produtos afetados
A vulnerabilidade afeta o FortiWeb Fabric Connector, componente usado para integrar o FortiWeb a outros produtos da Fortinet, como FortiAnalyzer e FortiManager. A Fortinet publicou a lista exata das versões afetadas, sendo elas:
- FortiWeb versão 7.2.0;
- FortiWeb versão 7.0.0 até 7.0.3;
- FortiWeb versão 6.4.0 até 6.4.3.
A falha foi corrigida nas versões 7.2.1, 7.0.4 e 6.4.4. A recomendação oficial é que os administradores atualizem imediatamente para uma dessas versões corrigidas.
Detalhes técnicos
A CVE-2025-25257 é uma injeção SQL cega explorável antes da autenticação, o que significa que o invasor pode interagir com o banco de dados do sistema sem fornecer credenciais válidas. A vulnerabilidade se encontra no endpoint do Fabric Connector, que não valida adequadamente os dados fornecidos pelo usuário.
Pesquisadores da WatchTowr Labs realizaram uma análise técnica aprofundada e demonstraram que, com um payload bem elaborado, é possível escalar a exploração da injeção SQL até alcançar a execução remota de código no sistema, inclusive com privilégios de root. O vetor de ataque é considerado direto, rápido e eficaz, e pode ser automatizado.
Um fator agravante é que a vulnerabilidade pode ser explorada sem deixar rastros evidentes em logs de autenticação, dificultando a detecção por soluções de monitoramento padrão.
CVSS, impacto e classificação CWE
A pontuação CVSS de 9.6 reflete o alto impacto potencial da falha. Ela permite comprometimento completo do sistema afetado e pode ser utilizada como ponto de entrada inicial em ataques mais amplos, especialmente em redes corporativas.
A vulnerabilidade foi classificada sob o identificador CWE-89: Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’), que representa uma das categorias mais comuns e perigosas de falhas de segurança em aplicações web.
Mitigações e recomendações
A Fortinet disponibilizou atualizações que corrigem completamente a vulnerabilidade. Para organizações que ainda não podem aplicar os patches imediatamente, recomenda-se:
- Restringir o acesso à interface administrativa do FortiWeb apenas a IPs confiáveis;
- Monitorar comunicações suspeitas com o endpoint do Fabric Connector;
- Implementar regras de WAF adicionais, se aplicável, para bloquear padrões de injeção SQL conhecidos.
Além disso, administradores devem verificar se há indícios de exploração nos sistemas, especialmente se estiverem executando versões vulneráveis e expostas à internet.
Exploração ativa e risco real
Até o momento, não há relatos confirmados de exploração ativa da CVE-2025-25257, mas o fato de a falha ser de pré-autenticação, aliada à gravidade do impacto, coloca essa vulnerabilidade no radar de grupos de ameaça. O alerta também já circula em fontes confiáveis de threat intelligence e blogs de segurança, como WatchTowr e SOC Prime.
Organizações que utilizam FortiWeb em ambientes críticos devem considerar essa vulnerabilidade como prioridade máxima e agir proativamente para mitigar o risco.
This post is also available in: Português
