CVE-2025-25257

Опубликовано: 17 июл. 2025

Источник: nvd

CVSS3: 9.8

EPSS Средний

Описание

An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] vulnerability in Fortinet FortiWeb 7.6.0 through 7.6.3, FortiWeb 7.4.0 through 7.4.7, FortiWeb 7.2.0 through 7.2.10, FortiWeb 7.0.0 through 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.

Ссылки

https://fortiguard.fortinet.com/psirt/FG-IR-25-151
Vendor Advisory
https://github.com/0xbigshaq/CVE-2025-25257
Third Party Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-25257
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.0.11 (исключая)

cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*

Версия от 7.2.0 (включая) до 7.2.11 (исключая)

cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.8 (исключая)

cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*

Версия от 7.6.0 (включая) до 7.6.4 (исключая)

EPSS

Процентиль: 98%

0.4537

Средний

9.8 Critical

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-mj4r-rpwm-gg33

CVSS3: 9.8

github

7 месяцев назад

An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] in Fortinet FortiWeb version 7.6.0 through 7.6.3, 7.4.0 through 7.4.7, 7.2.0 through 7.2.10 and below 7.0.10 allows an unauthenticated attacker to execute unauthorized SQL code or commands via crafted HTTP or HTTPs requests.

BDU:2025-08439

CVSS3: 9.8

fstec

7 месяцев назад

Уязвимость функции get_fabric_user_by_token() компонента Fabric Connector межсетевого экрана веб-приложений FortiWeb, позволяющая нарушителю выполнить произвольный код или произвольные команды

EPSS

Процентиль: 98%

0.4537

Средний

9.8 Critical

CVSS3

Дефекты

CWE-89