Vulnerabilidad crítica de inyección SQL en FortiWeb

18 de julio de 2025

Una vulnerabilidad de inyección SQL de alta gravedad, CVE-2025-25257, en Fortinet FortiWeb permite la ejecución remota de código (RCE) preautenticada. Tiene una puntuación CVSS de 9,8.

¿Cuál es la amenaza?

La vulnerabilidad CVE-2025-25257 se deriva de una falla de inyección SQL en el Fabric Conector de FortiWeb, específicamente en la función “get_fabric_user_by_token()” que valida correctamente los tokens portadores en los encabezados de las solicitudes HTTP. Un atacante puede explotar esta vulnerabilidad enviando solicitudes HTTP o HTTPS manipulando al endpoint /api/fabric/device/status e inyectando código SQL en el encabezado de autorización. Esto permite a los atacantes eludir las comprobaciones de autenticación y potencialmente escalar a RCE mediante la escritura de archivos maliciosos en el sistema que se ejecutan automáticamente al ejecutar ciertos scripts de Python.

¿Por qué es digno de mención?

Una vulnerabilidad de inyección SQL previa a la autenticación en un firewall de aplicaciones web como FortiWeb es especialmente preocupante, ya que estos dispositivos se implementan específicamente para proteger otras aplicaciones web de amenazas. Además, esta vulnerabilidad puede permitir a los atacantes escalar una RCE completa utilizando las capacidades de creación de archivos de MySQL.

¿Cuál es la exposición o riesgo?

Las organizaciones que utilizan versiones sin parchear de Fortinet FortiWeb se enfrentan a riesgos significativos de acceso no autorizado y vulnerabilidades del sistema. Una explotación exitosa podría comprometer el WAF y exponer las aplicaciones web que protege. Los atacantes que aprovechen esta vulnerabilidad pueden lograr una RCE preautenticada con la capacidad de:

Ejecutar comandos arbitrarios en el dispositivo FortiWeb
Moverse lateralmente a otros sistemas en la red.
Acceda a datos confidenciales protegidos por el WAF.
Interrumpir las operaciones de seguridad comprometiendo el propio WAF.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

El servicio de seguridad de vulnerabilidades administradas detecta proactivamente las instalaciones vulnerables de FortiWeb en su infraestructura antes de que se produzca una vulnerabilidad. Este servicio totalmente administrado identifica y prioriza las vulnerabilidades en servidores, endpoints, dispositivos red e infraestructura.

Al combinarse con un XDR, permite una estrategia de defensa exhaustiva que cierre brechas de seguridad e identifica eventos de inicio de sesión sospechosos y movimientos laterales.