Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Spanish
Buscar
Crowdstrike 320×100
Crowdstriker 970×120
Vulnerabilidad crítica en FortiWeb: puntuación 9,6 y comandos SQL no autorizados

Vulnerabilidad crítica en FortiWeb: puntuación 9,6 y comandos SQL no autorizados

Redazione RHC : 13 julio 2025 11:56

Recientemente se publicó una nueva vulnerabilidad, identificada como CVE-2025-25257, que afecta a varias versiones de Fortinet FortiWeb. Esta vulnerabilidad podría permitir a atacantes no autenticados ejecutar comandos SQL no autorizados mediante solicitudes HTTP/S falsificadas. Esta vulnerabilidad afecta significativamente la confidencialidad, la integridad y la disponibilidad, y tiene una puntuación CVSSv3 de 9,6.

El riesgo es significativo, ya que las instancias de FortiWeb suelen ser sistemas públicos, lo que convierte a estas infraestructuras en blancos fáciles para los actores de amenazas durante las intrusiones. Al 11/07/2025, no hay evidencia de que esta vulnerabilidad haya sido explotada activamente.

  • Última actualización: 11/07/2025
  • Tipo: Inyección SQL
  • Software afectado:
    → FortiWeb 7.6: versiones 7.6.0 a 7.6.3
    → FortiWeb 7.4: versiones 7.4.0 a 7.4.7
    → FortiWeb 7.2: versiones de la 7.2.0 a la 7.2.10
    → FortiWeb 7.0: versiones de la 7.0.0 a la 7.0.10
  • CVE/CVSSCVE-2025-25257: CVSS 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Detalles del error

En las versiones afectadas, la interfaz gráfica de administración de FortiWeb presenta una neutralización de entrada incorrecta, lo que provoca una inyección de SQL no autenticado. Esta falla crítica permite a los atacantes:

  1. Ejecutar comandos SQL no autorizados sin autenticación
  2. Evitar los controles de acceso y extraer datos confidenciales de configuración o del usuario
  3. Modificar o eliminar entradas de la base de datos del backend
  4. Potencialmente comprometer por completo el sistema

Acciones recomendadas

Se recomienda encarecidamente instalar las actualizaciones proporcionadas por el proveedor para los dispositivos vulnerables como máxima prioridad, después de realizar pruebas exhaustivas.

Mejore las capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada y garantizar una respuesta rápida en caso de intrusión.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
A partir del 12 de noviembre, se implementará la verificación de edad para los sitios pornográficos en Italia. ¿Qué cambia?
Di Redazione RHC - 31/10/2025

A partir del martes 12 de noviembre de 2025, entrarán en vigor nuevas disposiciones de la Autoridad Reguladora de las Comunicaciones Italiana (AGCOM), que exigirán un sistema de verificación de eda...

Immagine del sito
AzureHound: La herramienta «legítima» para ataques en la nube
Di Luca Galuppi - 31/10/2025

AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...

Immagine del sito
Red Hot Cyber lanza un servicio gratuito de enriquecimiento de CVE en tiempo real.
Di Redazione RHC - 31/10/2025

La puntualidad es clave en ciberseguridad. Red Hot Cyber lanzó recientemente un servicio completamente gratuito que permite a los profesionales de TI, analistas de seguridad y entusiastas monitorear ...

Immagine del sito
Nvidia invierte mil millones de dólares en Nokia para desarrollar redes 6G con IA.
Di Redazione RHC - 31/10/2025

Jen-Hsun Huang soltó una bomba: Nvidia habría invertido mil millones de dólares en Nokia. Sí, Nokia es la compañía que popularizó los teléfonos Symbian hace 20 años. En su discurso, Jensen Hu...

Immagine del sito
Funcionarios del Ministerio del Interior ruso arrestaron a los creadores del malware Medusa
Di Redazione RHC - 31/10/2025

El equipo de programación ruso responsable del malware Medusa ha sido arrestado por funcionarios del Ministerio del Interior ruso, con el apoyo de la policía de la región de Astracán. Según los i...