Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans Fortinet FortiWeb

juillet 2025

Résumé

Le 18 juillet 2025, une alerte de sécurité a été publiée concernant une vulnérabilité critique dans Fortinet FortiWeb, un pare-feu applicatif web.

Référencée sous CVE-2025-25257, cette faille de type injection SQL permet à un attaquant non authentifié d’exécuter des commandes SQL malveillantes en envoyant des requêtes HTTP ou HTTPS spécialement conçues. Cela peut compromettre la base de données du système et même permettre une exécution de code à distance sur le serveur.

Solutions

Il est impératif de mettre à jour FortiWeb vers les versions corrigées suivantes :

7.6.4 ou version supérieure

7.4.8 ou version supérieure

7.2.11 ou version supérieure

7.0.11 ou version supérieure

La faille est activement exploitée : Oui

Details techniques

Score CVSS : 9.8

Risques :

Exécution de code arbitraire, compromission totale du système, accès non autorisé à la base de données

Systèmes affectés

Versions 7.0.x antérieures à 7.0.11
Versions 7.2.x antérieures à 7.2.11
Versions 7.4.x antérieures à 7.4.8
Versions 7.6.x antérieures à 7.6.4

Documentation

Bulletin de Fortinet :
https://www.fortiguard.com/psirt/FG-IR-25-151

Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-25257

CVE Details
https://www.cvedetails.com/cve/CVE-2025-25257/

Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-25257

CWE
https://www.cvedetails.com/cwe-details/89/Improper-Neutralization-of-Special-Elements-used-in-an-SQL-C.html

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires