شناسه CVE-2025-25257 :CVE
CWE-89 :CWE
yes :Advisory
منتشر شده: جولای 17, 2025
به روز شده: جولای 17, 2025
امتیاز: 9.6
نوع حمله: SQL Injection

اثر گذاری: Remote code execution(RCE)
حوزه: نرم افزارهای شبکه و امنیت
برند: Fortinet
محصول: FortiWeb
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در Fortinet FortiWeb نسخه‌های 7.6.0 تا 7.6.3، 7.4.0 تا 7.4.7، 7.2.0 تا 7.2.10 و 7.0.0 تا 7.0.10 به دلیل عدم خنثی‌سازی مناسب المنت های خاص در دستورات SQL است که برای مهاجمان بدون نیاز به احراز هویت امکان تزریق
SQL (SQL Injection) را فراهم می‌کند. مهاجم می‌تواند از طریق ارسال درخواست‌های HTTP یا HTTPS مخرب از راه دور، کدها و دستورات SQL دلخواه خود را اجرا کرده و به سیستم دسترسی غیرمجاز پیدا کند.

توضیحات

آسیب‌پذیری CVE-2025-25257 در FortiWeb، فایروال اپلیکیشن وب محصول Fortinet، به دلیل ضعف در پردازش ورودی‌های HTTP یا HTTPS، به مهاجمان اجازه می‌دهد که کدها و دستورات SQL دلخواه را از راه دور اجرا کنند. این آسیب‌پذیری از نوع CWE-89 است که در آن ورودی‌های HTTP به درستی پاک‌سازی نمی‌شوند و مهاجم می‌تواند کد SQL مخرب خود را از طریق درخواست‌های HTTP یا HTTPS ارسال کند.

این ضعف در نسخه‌های مختلف FortiWeb شامل 7.6.0 تا 7.6.3، 7.4.0 تا 7.4.7، 7.2.0 تا 7.2.10 و 7.0.0 تا 7.0.10 وجود دارد. مهاجم بدون نیاز به احراز هویت می‌تواند کدها و دستورات SQL دلخواه را اجرا کرده و به سیستم دسترسی پیدا کند. این دستورات ممکن است منجر به اجرای کد دلخواه (RCE) شوند که در نتیجه آن، مهاجم می‌تواند به طور کامل کنترل دستگاه را به دست آورد. دلیل این امر این است که سیستم به درستی ورودی‌ها را فیلتر نکرده و مهاجم می‌تواند کدهای خود را در حافظه سرور اجرا کند.

این آسیب‌پذیری از طریق شبکه، بدون نیاز به احراز هویت یا تعامل کاربر قابل بهره‌برداری است. پیامدهای آن شامل نقض شدید محرمانگی با سرقت داده‌های حساس، یکپارچگی با تغییر فایل‌های سیستم و در دسترس‌پذیری با اختلال در سرویس FortiWeb است.

این آسیب‌پذیری در دنیای واقعی مورد بهره‌برداری قرار گرفته و در فهرست CISA (فهرست آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری) قرار گرفته است که نشان می‌دهد در حال حاضر به صورت فعال توسط مهاجمان در حملات سایبری استفاده می‌شود.

کد اثبات مفهومی (PoC) منتشر شده به مهاجمان کمک می‌کند تا با ارسال درخواست‌های HTTP مخرب، SQL Injection را فعال کرده و دستورات دلخواه خود را روی سرور اجرا کنند. همچنین، با استفاده از این ابزار، مهاجم می‌تواند فایل‌های مخرب نظیر وب‌شل‌ها را به سرور هدف ارسال کرده و از طریق آن‌ها دستورات سیستم را اجرا کند.

لازم به ذکر است این آسیب‌پذیری به دلیل شدت بحرانی، به فهرست CISA Known Exploited Vulnerabilities (KEV) اضافه شده است. شرکت Fortinet برای رفع این آسیب پذیری و جلوگیری از بهره برداری پچ های امنیتی منتشر کرده است.

CVSS

Score	Severity	Version	Vector String
9.6	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:C

لیست محصولات آسیب پذیر

Versions

Product

affected from 7.6.0 through 7.6.3

affected from 7.4.0 through 7.4.7

affected from 7.2.0 through 7.2.10

affected from 7.0.0 through 7.0.10

FortiWeb

لیست محصولات بروز شده

Versions	Product
7.6.4, 7.4.8, 7.2.11, 7.0.11 and later	FortiWeb

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Fortinet FortiWeb را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

Product

193

Fortinet FortiWeb

نتیجه گیری

این آسیب‌پذیری در FortiWeb، به دلیل امکان تزریق SQL بدون احراز هویت و شدت بحرانی، تهدیدی جدی برای سیستم‌های فایروال اپلیکیشن وب محسوب می شود که می‌تواند منجر به اجرای کد از راه دور و کنترل کامل دستگاه شود. برای کاهش ریسک و حفاظت از سیستم ها اجرای فوری اقدامات زیر توصیه می شود:

به‌روزرسانی فوری: FortiWeb را به نسخه‌های 7.6.4، 7.4.8، 7.2.11 و 7.0.11 به‌روزرسانی کنید تا اصلاحات امنیتی اعمال شود.
محدودسازی رابط ادمین: دسترسی به رابط‌های مدیریتی HTTP/HTTPS را محدود یا غیرفعال کنید و مدیریت دستگاه را تنها از طریق شبکه‌های امن یا VPN انجام دهید.
نظارت بر هدرها: هدرهای Authorization را برای شناسایی نشانه‌های SQL Injection نظارت کنید.
تشخیص نفوذ: از IDS/IPS برای شناسایی تلاش‌های تزریق SQL در اندپوینت های /api/fabric/device/status استفاده کنید.
بررسی فایل‌ها: سرور را بررسی کنید تا فایل‌های غیرمنتظره‌ای که ممکن است شامل وب‌شل یا اسکریپت‌های مخرب باشند، شناسایی شوند.
پشتیبان‌گیری: از تنظیمات و داده‌های FortiWeb نسخه پشتیبان تهیه کنید.
آموزش کاربران: مدیران شبکه را در مورد ریسک SQL Injection و اهمیت به‌روزرسانی فوری آگاه کنید.

اجرای این اقدامات ریسک بهره برداری از آسیب پذیری را به حداقل رسانده و امنیت FortiWeb را در برابر حملات سایبری به طور قابل توجهی افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Atatck

Initial Access (TA0001)

مهاجم می‌تواند از طریق تزریق SQL در فایروال اپلیکیشن وب FortiWeb بدون نیاز به احراز هویت، دستورات SQL دلخواه را ارسال کرده و به سیستم دسترسی پیدا کند. این آسیب‌پذیری از نوع CWE-89 است که در آن ورودی‌های HTTP به درستی پاک‌سازی نمی‌شوند.

Execution (TA0002)

پس از تزریق موفق SQL، مهاجم قادر به اجرای کد از راه دور (RCE) در سرور هدف خواهد بود. دستورات SQL ممکن است شامل دستورات سیستم یا وب‌شل‌ها باشند که به مهاجم اجازه می‌دهند کنترل دستگاه را به دست آورند و دستورات سیستم را اجرا کنند.

Persistence (TA0003)

این آسیب‌پذیری ممکن است باعث ذخیره شدن کدهای مخرب در پایگاه داده یا فایل‌های سرور شود که می‌تواند باعث اجرای مکرر کدهای مخرب در هر بار درخواست به سرور گردد.

Privilege Escalation (TA0004)

اگر مهاجم به روش‌های دیگری مانند سرقت نشست‌ها و کوکی‌ها، دسترسی‌های بالاتر را به دست آورد، می‌تواند از این آسیب‌پذیری برای افزایش سطح دسترسی به دستگاه و استفاده از آن به‌عنوان پلتفرم برای حملات بیشتر استفاده کند.

Defense Evasion (TA0005)

این حمله می‌تواند از ابزارهای نظارتی عبور کند، زیرا تزریق SQL از طریق درخواست‌های HTTP انجام می‌شود و ورودی‌ها به نظر مشروع می‌رسند. این باعث می‌شود که به راحتی از سیستم‌های امنیتی یا فایروال‌ها عبور کند.

Lateral Movement (TA0008)

پس از دسترسی به دستگاه، مهاجم می‌تواند از اطلاعات به‌دست‌آمده برای حرکت در داخل شبکه استفاده کرده و به سایر بخش‌ها یا سیستم‌ها حمله کند.

Collection (TA0009)

مهاجم می‌تواند اطلاعات حساس از جمله داده‌های نشست کاربران، کوکی‌ها یا اطلاعات حساب‌های کاربری را از پایگاه داده یا فایل‌های سرور جمع‌آوری کند.

Exfiltration (TA0010)

داده‌های جمع‌آوری‌شده از طریق تزریق SQL ممکن است به سرورهای مهاجم ارسال شوند، به این ترتیب اطلاعات حساس مانند کوکی‌ها، توکن‌ها، اطلاعات حساب‌ها یا دیگر داده‌های مهم سرقت شود.

Impact (TA0040)

پیامدهای این آسیب‌پذیری شامل سرقت داده‌های حساس مانند کوکی‌ها و اطلاعات حساب‌ها، تغییر فایل‌های سیستم و داده‌ها، اختلال در عملکرد FortiWeb و قطع دسترسی به سیستم‌ها، و اجرای کد از راه دور (RCE) است که به مهاجم امکان کنترل دستگاه را می‌دهد.

منابع

اثبات آسیب‌پذیری Fortinet FortiWeb (CVE-2025-25257)

اطلاعات آسیب پذیری:

نرم‌افزار آسیب‌پذیر: FortiWeb
نسخه‌های آسیب‌پذیر:

نسخه‌های 7.6.0 تا 7.6.3
نسخه‌های 7.4.0 تا 7.4.7
نسخه‌های 7.2.0 تا 7.2.10
نسخه‌های 7.0.0 تا 7.0.10

ماهیت مشکل:
این آسیب‌پذیری از نوع SQL Injection (CWE-89) است که در GUI Fabric Connector پلاگین FortiWeb وجود دارد. عدم خنثی‌سازی مناسب عناصر خاص در دستورات SQL به مهاجم این امکان را می‌دهد که با ارسال درخواست‌های HTTP(S) خاص، کد SQL دلخواه را اجرا کند. بسته به محیط، این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (RCE) شود (به عنوان مثال از طریق SELECT … INTO OUTFILE).

شدت آسیب‌پذیری: بحرانی (CVSS: 9.8)

محیط آزمایش

برای بازتولید PoC، نیاز به شرایط زیر است:

دسترسی به FortiWeb و نسخه‌های آسیب‌پذیر آن (7.6.0 تا 7.6.3، 7.4.0 تا 7.4.7، 7.2.0 تا 7.2.10، 7.0.0 تا 7.0.10)
دسترسی شبکه به GUI یا Fabric Connector
مهاجم باید قادر به ارسال درخواست‌های HTTP(S) مخرب به FortiWeb GUI یا Fabric Connector باشد

اثبات مفهوم (PoC)

مهاجم درخواست HTTP(S) مخربی به FortiWeb GUI / Fabric Connector ارسال می‌کند که حاوی payload SQL است.
تزریق SQL فعال می‌شود و به مهاجم اجازه می‌دهد که دستورات دلخواه SQL را اجرا کند.
مهاجم می‌تواند داده‌ها را بخواند، تغییر دهد یا حذف کند.
در پیکربندی‌های خاص، تزریق SQL امکان نوشتن فایل‌ها به دیسک را فراهم می‌کند (مثلاً با استفاده از INTO OUTFILE)
اگر فایل‌های نوشته‌شده توسط مهاجم قابل اجرا باشند، این مسئله منجر به نفوذ کامل به سیستم خواهد شد.

توضیح فنی:

اکسپلویت مورد استفاده برای آزمایش با ارسال یک درخواست HTTP مخرب به اندپوینت آسیب‌پذیر /api/fabric/device/status در دستگاه FortiWeb آغاز می‌شود. درخواست حاوی یک SQL payload است که موجب فعال‌سازی آسیب‌پذیری SQL Injection می‌شود. این آسیب‌پذیری به مهاجم اجازه می‌دهد که دستورات دلخواه SQL را به پایگاه داده ارسال کند و از آن برای خواندن، تغییر یا حذف داده‌ها استفاده کند. در پیکربندی‌های خاص، مهاجم می‌تواند از دستور SELECT INTO OUTFILE برای نوشتن فایل‌ها به دیسک استفاده کند. این فایل‌ها می‌توانند شامل کدهای اجرایی باشند که در صورت قابل اجرا بودن، به مهاجم اجازه می‌دهند تا کدهای مخرب را در سیستم هدف اجرا کند. با اجرای موفقیت‌آمیز این کدها، مهاجم به دسترسی از راه دور (RCE) دست می‌یابد و می‌تواند کنترل کامل سیستم را در دست گیرد. این روند باعث نفوذ کامل به سیستم و پتانسیل بهره‌برداری بیشتر از آن می‌شود.

نتیجه مورد انتظار

دستورات SQL باید به درستی خنثی‌سازی شوند تا از تزریق SQL جلوگیری شود.
هیچ‌گونه داده حساس نباید از طریق GUI Fabric Connector فاش شود.
SQL باید تنها از کوئری‌های پارامتری استفاده کند تا اجرای کد دلخواه غیرممکن شود.

رفع مشکل

به نسخه‌های 7.6.4, 7.4.8, 7.2.11, یا7.0.11 یا بالاتر به‌روزرسانی کنید.
اگر به‌روزرسانی فوری امکان‌پذیر نیست:
- دسترسی به GUI/Fabric Connector را غیرفعال یا محدود کنید.
- دسترسی به GUI تنها از شبکه‌های مدیریتی قابل اعتماد مجاز باشد.
- از WAF/IDS برای جلوگیری از SQL Injection استفاده کنید.

پاسخ به حادثه

اگر بهره‌برداری از آسیب‌پذیری مشکوک است:
- FortiWeb appliance را ایزوله کنید.
- لاگ‌ها و لاگ‌های پایگاه داده را جمع‌آوری کنید.
- سیستم فایل را برای یافتن بارگذاری‌های مخرب یا فایل‌های نوشته‌شده توسط مهاجم بررسی کنید.
- پچ به نسخه اصلاح‌شده را اعمال کنید یا سیستم را از نسخه پشتیبان پاک بازسازی کنید.

زنجیره حمله پیشنهادی

در شکل زیر می‌توان یک زنجیره حمله برای این آسیب‌پذیری مشاهده کرد:

اثبات آسیب‌پذیری Fortinet FortiWeb (CVE-2025-25257)

شکل 1: زنجیره جمله

نتیجه اجرای POC

تیم اثبات آسیب پذیری Vulnerbyte در محیط ایزوله آزمایشگاهی اثبات این آسیب پذیری را با موفقیت انجام دادند و تکرارپذیری آن مورد تایید است. در تصویر زیر می توان نتیجه اجرای موفقیت آمیز اکسپلویت مرتبط را دید.

شکل 2: اجرای موفقیت آمیز POC

منابع

CVE-2025-25257 – Unauthenticated SQL Injection / Pre-Auth RCE via Fabric Connector GUI

CVE ID: CVE-2025-25257
Severity: Critical (CVSS 9.8)
Affected Systems:

FortiWeb versions 7.6.0 through 7.6.3
FortiWeb 7.4.0 through 7.4.7
FortiWeb 7.2.0 through 7.2.10
FortiWeb 7.0.0 through 7.0.10

Patched In:

7.6.4 or later
7.4.8 or later
7.2.11 or later
7.0.11 or later

References:

Description

An unauthenticated attacker may exploit an SQL Injection vulnerability (CWE-89) in the Fabric Connector GUI component of FortiWeb. Improper neutralization of special elements in SQL commands allows crafted HTTP(S) requests to execute arbitrary SQL code. Depending on the environment, this can escalate to Remote Code Execution (RCE) (e.g. via SELECT … INTO OUTFILE).

Prerequisites

Attacker needs no authentication or prior access.
Internet/network access to the FortiWeb instance is required.
The attacker sends a crafted remote HTTP(S) request to the FortiWeb GUI or Fabric Connector.

Proof of Concept (PoC)

The attacker sends a crafted HTTP(S) request to the FortiWeb GUI / Fabric Connector with a malicious SQL payload.
The SQL Injection triggers, allowing arbitrary database queries.
The attacker can read, modify, or delete sensitive data from the database.
In certain configurations, SQL Injection allows writing files to disk (e.g., with INTO OUTFILE).
If attacker-written files are executable, this leads to full system compromise.

Expected Result

SQL commands should be properly sanitized to prevent SQL Injection.
Any sensitive data should not be exposed via the Fabric Connector GUI.
SQL queries should only execute parameterized queries to prevent arbitrary code execution.

Mitigation

Patch: Update to FortiWeb versions 7.6.4, 7.4.8, 7.2.11, or 7.0.11 or later.
If patching is delayed:
- Disable or strictly restrict access to the FortiWeb GUI/Fabric Connector.
- Allow GUI access only from trusted management networks.
- Deploy WAF/IDS signatures for SQL Injection prevention.

Post-Incident Response

If exploitation is suspected:
- Isolate the FortiWeb appliance.
- Collect logs and database logs for further analysis.
- Inspect the filesystem for malicious uploads or files dropped by the attacker.
- Patch to the fixed version or rebuild/restore from a clean backup.

Disclaimer

This information is provided for educational and defensive security purposes only.
Do not exploit this vulnerability on systems without explicit authorization.
The author assumes no responsibility for misuse or damage resulting from the use of this information.

بررسی آماری آسیب پذیری CVE-2025-25257 در کشور ایران

محصول آسیب پذیر: FortiWeb

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

طبق Enlyft از منابع تحلیلی بازار ، حدود ۷٪ از مشتریان FortiWeb در جهان، در ایران قرار دارند. این آمار نشان‌دهنده حضور قابل‌توجه اما محدودِ FortiWeb در بازار ایران است، ولی به هیچ وجه تضمینی برای “سهم واقعی نصب شده” نیست — بسیاری از نصب‌ها ممکن است گزارش نشوند یا در داخل کشور به‌صورت محلی پیاده‌سازی شده باشند.

به‌علاوه، Fortinet در بازار جهانی فایروال‌ها سهم عمده‌ای دارد — مثلاً گزارش‌ها نشان می‌دهند Fortinet در بازار دستگاه‌های فایروال و UTM سهمی در حدود ۳۶٫۸٪ دارد. VPN Central این وضعیت بین‌المللی نشان می‌دهد که شرکت در کسب‌وکار محصولات امنیتی توانمندی دارد، اما چالش‌هایی مثل تحریم، هزینه واردات و پشتیبانی می‌توانند مانع از رشد گسترده در ایران باشند.

میزان استفاده در ایران بر اساس موتورهای جستجو

تعداد در زمان نگارش گزارش	دورک	موتور جستجو
135	site:.ir “fortiweb”	Google
123	“فورتی وب”	Google
62	site:.ir “fortiweb”	Bing

وجود نمایندگی در ایران

ظاهراً نمایندگی‌ها / شرکت‌های فعال در ایران که محصولات Fortinet / FortiWeb را عرضه می‌کنند وجود دارند. چند مورد به صورت زیر هستند:

شرکت ماهان شبکه عنوان شده به‌عنوان نماینده FortiWeb در ایران
شرکت رسیس در تهران فروش FortiWeb دارد
شرکت وینو سرور ادعا می‌کند نمایندگی رسمی محصولات Fortinet از جمله FortiWeb را دارد.
شرکت پیشگامان فناوری اطلاعات هامون یکی از نمایندگان رسمی محصولات Fortinet در ایران معرفی شده است.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

تا امروز هیچ گزارش تحقیقات بازار معتبرِ عمومی که «میزان استفاده FortiWeb در ایران» را به‌صورت عدد/درصد رسمی بدهد منتشر نشده است. نزدیک‌ترین مورد قابل استناد، دیتابیس technographics سرویس Enlyft است که می‌گوید حدود ۷٪ از مشتریان FortiWeb در نمونه شناسایی‌شده آن‌ها در «ایران» هستند (۳۷۷ مشتری جهانی → تقریباً ۲۵ سازمان در ایران) این اعداد صرفاً تخمینی بر مبنای همین پایگاه داده بوده و روش‌شناسی‌شان نمونه‌محور است. لزوماً معادل «سهم نصب‌شده واقعی» نیست.

منابع

CVE-2025-25257

Fortinet FortiWeb Unauthenticated SQL Injection Vulnerability

CVE-2025-25257 – Unauthenticated SQL Injection / Pre-Auth RCE via Fabric Connector GUI

Description

Prerequisites

Proof of Concept (PoC)

Expected Result

Mitigation

Post-Incident Response

Disclaimer

CVE-2025-10792

CVE-2025-53468

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ