Fortinet ha abordado una vulnerabilidad crítica en su solución FortiWeb, utilizada como firewall de aplicaciones web en entornos empresariales. Esta vulnerabilidad, identificada como CVE-2025-25257, permite a atacantes remotos no autenticados ejecutar comandos SQL a través de solicitudes HTTP o HTTPS manipuladas. El fallo se origina por una neutralización incorrecta de los elementos especiales utilizados en comandos SQL, lo que constituye una inyección SQL crítica (CWE-89).
CVE-2025-25257 – CVSS 3.1: 9.6 (Crítico):
Esta vulnerabilidad crítica no requiere autenticación previa, lo que la convierte en una amenaza severa. La explotación exitosa puede permitir a un atacante acceder a datos sensibles, modificar bases de datos o comprometer sistemas internos conectados a FortiWeb.
Productos Afectados y Solución:
| Productos Afectados | Solución |
| FortiWeb 7.6.0 a 7.6.3 | Actualizar a 7.6.4 o superior |
| FortiWeb 7.4.0 a 7.4.7 | Actualizar a 7.4.8 o superior |
| FortiWeb 7.2.0 a 7.2.10 | Actualizar a 7.2.11 o superior |
| FortiWeb 7.0.0 a 7.0.10 | Actualizar a 7.0.11 o superior |
Workaround:
Deshabilitar los servicios HTTP/HTTPS en las interfaces administrativas expuestas externamente hasta que se apliquen las actualizaciones correspondientes.
Recomendaciones:
- Aplicar de inmediato los parches proporcionados por Fortinet según la versión de FortiWeb utilizada.
- Limitar el acceso a la interfaz administrativa mediante reglas de red o controles de acceso.
- Supervisar los registros del sistema en busca de patrones anómalos que indiquen posibles intentos de explotación.
Referencias:
- https://cybersecuritynews.com/fortiweb-sql-injection-vulnerability/
- https://gbhackers.com/fortiweb-sql-injection-vulnerability/
- https://www.cisecurity.org/advisory/a-vulnerability-in-fortiweb-could-allow-for-sql-injection_2025-063
- https://ciberseguridad.euskadi.eus/noticia/2025/vulnerabilidades-criticas-en-fortiweb-y-fortivoice/webcyb00-contcibglos/es/