FortiWeb Unauthenticated SQL Injection Vulnerability

漏洞信息

漏洞名称： FortiWeb Unauthenticated SQL Injection Vulnerability

漏洞编号：

• CVE： CVE-2025-25257

漏洞类型： SQL注入

漏洞等级： 高危

漏洞描述： FortiWeb是Fortinet公司提供的一款Web应用防火墙（WAF），旨在保护Web应用程序免受各种网络攻击，如SQL注入、跨站脚本（XSS）等。它广泛应用于企业级环境中，用于保护敏感的Web应用程序和数据。此次发现的漏洞为未经验证的SQL注入漏洞，攻击者无需认证即可利用此漏洞执行恶意SQL命令。漏洞的技术根源在于FortiWeb未能正确处理用户输入，导致攻击者可以通过构造特殊的HTTP请求，绕过输入验证，直接向数据库发送恶意SQL查询。这种漏洞的存在可能导致严重的安全风险，包括但不限于数据泄露、数据篡改、服务中断等。由于攻击者无需认证即可利用此漏洞，因此其危害性较高，且可能被自动化工具大规模利用。建议所有使用FortiWeb的用户尽快检查并更新到最新版本，以防范潜在的攻击。

产品厂商： Fortinet

产品名称： FortiWeb

来源： https://github.com/barbaraogmgf/CVE-2025-25257

类型： CVE-2025:github search

仓库文件

• README.md

来源概述

CVE-2025-25257

Unauthenticated SQL Injection in FortiWeb