Fortinet FortiWeb es un Web Application Firewall que protege las aplicaciones web y las API contra ataques. Su Fabric Connector integra FortiWeb con el ecosistema de seguridad más amplio de Fortinet. CVE-2025-25257 es una vulnerabilidad crítica de inyección SQL en este conector que permite a un atacante remoto no autenticado ejecutar código en el dispositivo, con el riesgo de un compromiso completo del sistema.
| Producto | Cisco ISE |
| Fecha | 2025-07-22 10:02:04 |
Resumen técnico
La vulnerabilidad reside en la función get_fabric_user_by_token, que gestiona de forma inadecuada la cabecera Authorization, permitiendo una inyección SQL a través del endpoint /api/fabric/device/status sin necesidad de autenticación. Al explotar este fallo, un atacante puede escribir archivos maliciosos como usuario root utilizando el comando SELECT INTO OUTFILE de MySQL, colocando un archivo Python .pth especialmente creado que desencadena la ejecución de código remoto a través de un script Python CGI (ml-draw.py). Este ataque de varios pasos desactiva de hecho la protección ofrecida por el WAF y compromete el sistema completo. El defecto está siendo explotado activamente en entornos reales.
Recomendaciones
- Aplicar inmediatamente la actualización a las versiones FortiWeb 7.6.4, 7.4.8, 7.2.11, 7.0.11 o superiores.
- Desactivar temporalmente la interfaz de administración HTTP/HTTPS en caso de retraso en la aplicación del parche.
- Monitorear el tráfico de red para detectar llamadas API sospechosas y escanear la presencia de archivos .pth no autorizados.
- Aislar las interfaces de administración en redes seguras, evitando la exposición pública.
[Callforaction-THREAT-Footer]