Fortinet FortiWeb è un Web Application Firewall che protegge le applicazioni web e le API dagli attacchi. Il suo Fabric Connector integra FortiWeb con l’ecosistema di sicurezza più ampio di Fortinet. CVE-2025-25257 è una vulnerabilità critica di SQL injection in questo connettore che consente a un attaccante remoto non autenticato di eseguire codice sul dispositivo, con il rischio di un compromesso completo del sistema.
| Prodotto | Cisco ISE |
| Data | 2025-07-22 10:02:04 |
Riassunto tecnico
La vulnerabilità risiede nella funzione get_fabric_user_by_token, che gestisce in modo improprio l’intestazione Authorization, consentendo una SQL injection tramite l’endpoint /api/fabric/device/status senza necessità di autenticazione. Sfruttando questa falla, un attaccante può scrivere file dannosi come utente root utilizzando il comando SELECT INTO OUTFILE di MySQL, collocando un file Python .pth appositamente creato che innesca l’esecuzione di codice remoto attraverso uno script Python CGI (ml-draw.py). Questo attacco multi-step disattiva di fatto la protezione offerta dal WAF e compromette l’intero sistema. Il difetto è attivamente sfruttato in ambienti reali.
Raccomandazioni
- Applicare immediatamente l’aggiornamento alle versioni FortiWeb 7.6.4, 7.4.8, 7.2.11, 7.0.11 o successive.
- Disattivare temporaneamente l’interfaccia di amministrazione HTTP/HTTPS in caso di ritardo nell’applicazione della patch.
- Monitorare il traffico di rete per chiamate API sospette e scansionare la presenza di file .pth non autorizzati.
- Isolare le interfacce di amministrazione su reti sicure, evitando esposizione pubblica.