Red Hot Cyber, The cybersecurity news

Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Italian
Buscar
Red Hot Cyber Academy

Vulnerabilidad crítica en FortiWeb: puntuación 9,6 y comandos SQL no autorizados

Redazione RHC : 13 julio 2025 11:56

Recientemente se publicó una nueva vulnerabilidad, identificada como CVE-2025-25257, que afecta a varias versiones de Fortinet FortiWeb. Esta vulnerabilidad podría permitir a atacantes no autenticados ejecutar comandos SQL no autorizados mediante solicitudes HTTP/S falsificadas. Esta vulnerabilidad afecta significativamente la confidencialidad, la integridad y la disponibilidad, y tiene una puntuación CVSSv3 de 9,6.

El riesgo es significativo, ya que las instancias de FortiWeb suelen ser sistemas públicos, lo que convierte a estas infraestructuras en blancos fáciles para los actores de amenazas durante las intrusiones. Al 11/07/2025, no hay evidencia de que esta vulnerabilidad haya sido explotada activamente.

  • Última actualización: 11/07/2025
  • Tipo: Inyección SQL
  • Software afectado:
    → FortiWeb 7.6: versiones 7.6.0 a 7.6.3
    → FortiWeb 7.4: versiones 7.4.0 a 7.4.7
    → FortiWeb 7.2: versiones de la 7.2.0 a la 7.2.10
    → FortiWeb 7.0: versiones de la 7.0.0 a la 7.0.10
  • CVE/CVSS → CVE-2025-25257: CVSS 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Detalles del error

En las versiones afectadas, la interfaz gráfica de administración de FortiWeb presenta una neutralización de entrada incorrecta, lo que provoca una inyección de SQL no autenticado. Esta falla crítica permite a los atacantes:

  1. Ejecutar comandos SQL no autorizados sin autenticación
  2. Evitar los controles de acceso y extraer datos confidenciales de configuración o del usuario
  3. Modificar o eliminar entradas de la base de datos del backend
  4. Potencialmente comprometer por completo el sistema

Acciones recomendadas

Se recomienda encarecidamente instalar las actualizaciones proporcionadas por el proveedor para los dispositivos vulnerables como máxima prioridad, después de realizar pruebas exhaustivas.

Mejore las capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada y garantizar una respuesta rápida en caso de intrusión.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Articoli in evidenza

Exploit RCE 0day para WinRAR y WinZIP a la venta en Exploit.in para correos electrónicos fraudulentos de phishing.

Recientemente, el popular foro clandestino exploit.in, actualmente cerrado y accesible solo por invitación, ha estado ofreciendo exploits para una vulnerabilidad de día cero que afecta a los...

¿Qué es el ransomware? Exploremos cómo funciona RaaS y qué significa.

Muchas personas desean comprender con precisión el fenómeno del ransomware, su significado, los métodos de violación y los delitos que lo rodean, y les cuesta encontrar informaci&#...

Cables submarinos y la «ciberguerra del fondo marino». Entre el control, la geopolítica y la tecnología.

Autore: 5ar0m4n Data Pubblicazione: 7/11/2021 Abbiamo spesso affrontato l’argomento dei cavi sottomarini su RHC dove abbiamo parlato del primo cavo sottomarino della storia e dell’ultimo p...

Un hacker filtra datos sensibles de políticos españoles. También está implicado el presidente del Gobierno, Pedro Sánchez.

Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...

Ciberseguridad: Italia encabeza el podio con cuatro jóvenes. Leonardo también es protagonista en el RHC CTF.

La primera edición de la Olimpiada Internacional de Ciberseguridad finalizó en Singapur con un excelente resultado para Italia. Cuatro estudiantes italianos subieron al podio, ganando medall...

Categorías
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber es un proyecto de noticias abiertas iniciado en 2019 y ampliado posteriormente a una red de personas que colaboran en la difusión de información y temas centrados en la tecnología, la informática y la ciberseguridad, con el objetivo de aumentar los conceptos de concienciación sobre riesgos a un número cada vez mayor de personas.

Para más información: [email protected]