В июле 2025 года компания Fortinet объявила о выпуске обновлений безопасности, направленных на устранение критической уязвимости SQL-инъекции в своём продукте FortiWeb, получившей идентификатор CVE-2025-25257. Эта уязвимость получила высокую оценку по шкале CVSS – 9.6 из 10, что свидетельствует о её чрезвычайной опасности и потенциальном риске для миллионов пользователей и организаций по всему миру. FortiWeb используется многими компаниями для защиты веб-приложений, и обнаруженное уязвимое место могло существенно ослабить его защитные функции и стать лазейкой для атак злоумышленников. По сути, проблема заключалась в том, что специальные элементы SQL-команды в компоненте FortiWeb, а именно в функции get_fabric_user_by_token, не нейтрализовались должным образом.
Эта функция отвечает за взаимодействие FortiWeb с другими решениями Fortinet через Fabric Connector. Уязвимость позволяла злоумышленнику, не имеющему аутентификации, выполнять произвольные команды в базе данных при помощи специально сформированных HTTP или HTTPS запросов, в которых вредоносный код передавался через заголовок Authorization с Bearer токеном. Опасность проблемы усложнялась тем, что атака могла быть расширена до удалённого выполнения кода. Именно через внедрение в SQL-запрос конструкции SELECT ..
. INTO OUTFILE злоумышленник мог записать вредоносный файл в файловую систему устройства, выполняя его впоследствии с помощью Python. Это открывало двери для полномасштабного компрометирования системы и получения полного контроля над сервером. Уязвимость затрагивала версии FortiWeb начиная с 7.0.
0 и до 7.6.3 включительно. Fortinet порекомендовал всем пользователям срочно обновиться до версий, исправляющих проблему: начиная с 7.0.
11, 7.2.11, 7.4.8 и 7.
6.4 соответственно. В качестве временных мер безопасности до применения патчей советуется отключить административный интерфейс HTTP/HTTPS, чтобы предотвратить возможные попытки эксплуатации. Обнаружение и доклад этой проблемы принадлежат специалисту Kentaro Kawane из GMO Cybersecurity, который уже известен сообщением критических уязвимостей в продуктах Cisco в 2025 году. Анализ инцидента, проведённый исследователями из watchTowr Labs, выделил именно проблемную функцию и API-эндпойнты, через которые шла обработка небезопасного ввода.
Для предотвращения подобных атак Fortinet в обновлённой версии заменил уязвимый метод формирования SQL-запросов на использование подготовленных выражений (prepared statements), существенно повышая уровень безопасности и снижая риск внедрения вредоносного кода. SQL-инъекции остаются одними из самых опасных и распространённых видов уязвимостей в веб-приложениях. Их успешно применяют для кражи данных, удаления информации, обхода механизмов аутентификации и даже запуска произвольного кода на атакуемой системе. Поэтому обнаружение такой критической уязвимости в продукте, предназначенном для защиты приложений, вызывает особое беспокойство. Потребителям FortiWeb следует воспринимать это обновление как приоритетное и не откладывать обновление для предотвращения инцидентов.
История последних лет показывает, что сбои в безопасности Fortinet не раз становились поводом для масштабных атак и утечек данных. Профессионалы в области кибербезопасности рекомендуют организациям строго придерживаться политики непрерывного мониторинга уязвимостей и своевременного применения патчей. Помимо обновления программного обеспечения, стоит рассмотреть ввод дополнительных слоёв защиты — усиленную фильтрацию и валидацию входящих запросов, а также внедрение стратегии многофакторной аутентификации. Для безопасности корпоративных инфраструктур важно не только устранение технических недостатков, но и проведение регулярных аудитов и обучение сотрудников основам информационной безопасности, так как человеческий фактор остаётся одним из главных каналов компрометации. В заключение, предупреждение и оперативное исправление подобных серьёзных уязвимостей — это ключ к сохранению устойчивости информационных систем в условиях растущих киберугроз.
Fortinet благодаря своевременной реакции на инцидент и внедрению исправлений снижает потенциальный урон для своих клиентов, но ответственность за безопасность остаётся и на стороне конечных пользователей, которым нельзя пренебрегать обновлениями и рекомендациями производителя.
