El 11 de junio de 2025Ravie Lakshmananunited States Fortinet ha lanzado soluciones para una falla de seguridad crítica que impacta FortiWeb que podría permitir a un atacante no autenticado ejecutar comandos de base de datos arbitrarios en instancias susceptibles. Seguimiento como CVE-2025-25257, la vulnerabilidad conlleva una puntuación CVSS de 9.6 de un máximo de 10.0. «Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL (‘inyección sql’) [CWE-89] En FortiWeb puede permitir que un atacante no autenticado ejecute el código o comandos SQL no autorizados a través de solicitudes HTTP o HTTPS no autorizadas a través de solicitudes HTTP o HTTPS no autorizadas, dijo en un asesoramiento publicado esta semana. La deficiencia impacta las siguientes versiones: FortiWeb 7.6.0 a 7.6.3 (actualización a 7.6.4 o más) FortiWeb 7.4.0 a 7.4.4.7 (mejoras a 7. 7.2.0 through 7.2.10 (Upgrade to 7.2.11 or above) FortiWeb 7.0.0 through 7.0.10 (Upgrade to 7.0.11 or above) Kentaro Kawane from GMO Cybersecurity, who was recently credited with reporting a set of critical flaws in Cisco Identity Services and ISE Passive Identity Connector (CVE-2025-20286, CVE-2025-20281, and CVE-2025-20282) ha sido reconocido por descubrir el problema. Desde tres puntos finales de API diferentes: «/API/Fabric/Device/Status,» «/API/V[0-9]/tela/widget/[a-z]+, «y»/API/V[0-9]/Fabric/Widget. «El problema es que la entrada controlada por el atacante, aprobada a través de un encabezado de autorización de token de portador en una solicitud HTTP especialmente elaborada, se pasa directamente a una base de datos de SQL de la consulta de la base de datos sin una sanitización adecuada para asegurarse de que no sea perjudicial y no incluya ningún código malicioso. Sistema operativo al aprovechar el hecho de que la consulta se ejecuta como el usuario «MySQL» «. Los fallas en los dispositivos Fortinet han sido explotados por los actores de amenaza en el pasado, es esencial que los usuarios se muevan rápidamente para actualizar la última versión para mitigar los riesgos potenciales.