Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección SQL en FortiWeb de Fortinet

Fecha de publicación 09/07/2025
Identificador
INCIBE-2025-0368
Importancia
5 - Crítica
Recursos Afectados
  • FortiWeb 7.6, versiones desde la 7.6.0 hasta la 7.6.3;
  • FortiWeb 7.4, versiones desde la 7.4.0 hasta la 7.4.7;
  • FortiWeb 7.2, versiones desde la 7.2.0 hasta la 7.2.10;
  • FortiWeb 7.0, versiones desde la 7.0.0 hasta la 7.0.10.
Descripción

Kentaro Kawane de GMO Cybersecurity ha informado de esta vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos a través de solicitudes HTTP o HTTPS manipuladas.

Solución

Para cada versión actualizar a la siguiente versión o superior:

  • FortiWeb 7.6 - 7.6.4;
  • FortiWeb 7.4 - 7.4.8;
  • FortiWeb 7.2 - 7.2.11;
  • FortiWeb 7.0 - 7.0.11.

En caso de que no sea posible instalar la actualización, se recomienda deshabilitar la interfaz de administración HTTP/HTTPS.

Detalle

FortiWeb tiene una vulnerabilidad de neutralización incorrecta de elementos especiales en un comando SQL (inyección SQL / SQL injection) que puede permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos mediante una solicitud HTTP o HTTPS manipulada. De esta forma un atacante podría acceder a datos sensibles, alterar el contenido de la base de datos o comprometer el backend de los sistemas.