CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung

[post-views]
Juli 14, 2025 · 3 min zu lesen
CVE-2025-25257: Kritische SQL-Injection-Schwachstelle in FortiWeb ermöglicht nicht authentifizierte Remote-Code-Ausführung

Nach der jüngsten Veröffentlichung von CVE-2025-47981, einer kritischen Heap-basierten Buffer-Overflow-Schwachstelle im Windows-Mechanismus SPNEGO Extended Negotiation, stehen Sicherheitsteams nun vor einer weiteren schwerwiegenden Bedrohung – diesmal betrifft sie die Web Application Firewall FortiWeb von Fortinet. Die Schwachstelle CVE-2025-25257 weist einen CVSS-Score von 9,6 auf und ist eine nicht authentifizierte SQL-Injection-Lücke, die Angreifern die Ausführung beliebiger SQL-Befehle über speziell präparierte HTTP- oder HTTPS-Anfragen ermöglicht.

Die Ausnutzung von Schwachstellen ist weiterhin eine der wichtigsten Methoden, mit denen Angreifer ersten Zugriff auf Zielnetzwerke erlangen. Im Jahr 2025 stiegen derartige Aktivitäten im Vergleich zum Vorjahr um 34%, was zu einem deutlichen Anstieg der Sicherheitsvorfälle führte. Da Proof-of-Concept-Code (PoC) zu CVE-2025-25257 bereits im Internet kursiert, ist eine frühzeitige Erkennung von Exploit-Versuchen entscheidend. Sicherheits­teams benötigen hierfür kuratierte Detection-Inhalte und geeignete Tools, um mit der heutigen aggressiven Bedrohungslandschaft Schritt zu halten.

Registrieren Sie sich auf der SOC Prime-Plattform, um auf den globalen Active-Threats-Feed zuzugreifen. Dieser liefert Echtzeit-Threat-Intelligence und kuratierte Erkennungs­algorithmen, unterstützt von einer vollständigen Produktsuite für KI-gestütztes Detection Engineering, automatisiertes Threat Hunting und fortgeschrittene Erkennung. Sämtliche Regeln sind mit verschiedenen SIEM-, EDR- und Data-Lake-Formaten kompatibel und auf das MITRE ATT&CK®-Framework gemappt. Darüber hinaus enthält jede Regel CTI-Links, Angriffschronologien, Audit-Konfigurationen, Triage-Empfehlungen und weiteren Kontext. Klicken Sie auf Erkennungen anzeigen, um den gesamten Detection-Stack für die proaktive Abwehr kritischer Schwachstellen (gefiltert nach „CVE“) einzusehen.

Erkennungen Anzeigen

Sicherheitsingenieure können außerdem Uncoder AI nutzen – eine private, nicht-agentische KI, die speziell für Threat-informed Detection Engineering entwickelt wurde. Mit Uncoder lassen sich IOCs automatisch in verwertbare Hunting-Queries umwandeln, Erkennungsregeln aus Roh-Reports erstellen, ATT&CK-Tags vorhersagen, Abfragen KI-gestützt optimieren und Detection-Inhalte plattformübergreifend übersetzen.

Analyse zu CVE-2025-25257

Laut dem Advisory von Fortinet entsteht die Schwachstelle CVE-2025-25257 durch eine unzureichende Neutralisierung spezieller Elemente in SQL-Anfragen. Dadurch kann ein nicht authentifizierter Angreifer über präparierte HTTP- bzw. HTTPS-Requests unbefugt SQL-Befehle ausführen. In einer aktuellen Analyse von watchTowr Labs identifizierten Forscher die Funktion get_fabric_user_by_token als Ursache. Diese gehört zur Fabric-Connector-Komponente, die FortiWeb mit anderen Fortinet-Produkten verbindet.

Die Schwachstelle tritt auf, weil vom Angreifer kontrollierte Eingaben über eine manipulierte HTTP-Anfrage ohne ausreichende Validierung direkt in eine SQL-Abfrage gelangen. So kann schädlicher SQL-Code injiziert und ausgeführt werden. Darüber hinaus lässt sich der Angriff durch ein SELECT … INTO OUTFILE eskalieren, wobei ein schädlicher Payload ins Dateisystem geschrieben wird. Da die SQL-Abfrage unter dem Benutzer „mysql“ ausgeführt wird, kann der Angreifer eine Datei auf dem zugrunde liegenden Betriebssystem ablegen und sie beispielsweise über Python starten.

Fortinet zufolge sind mehrere FortiWeb-Versionen von CVE-2025-25257 betroffen; Anwender sollten schnellstmöglich patchen. Verwundbar sind FortiWeb 7.6.0 bis 7.6.3 (Update auf 7.6.4 oder höher), 7.4.0 bis 7.4.7 (Update auf 7.4.8 oder höher), 7.2.0 bis 7.2.10 (Update auf 7.2.11 oder höher) sowie 7.0.0 bis 7.0.10 (Update auf 7.0.11 oder höher).

Als temporäre Maßnahme empfiehlt Fortinet, das HTTP/HTTPS-Admin-Interface zu deaktivieren, bis die entsprechenden Patches eingespielt sind. 

Um die wachsende Angriffsfläche proaktiv zu managen, können Unternehmen auf die SOC Prime-Plattform setzen: Sie bietet den weltweit größten Detection-Rule-Marktplatz, Automatisierung für Threat Hunting und Detection Engineering, KI-native Threat-Intelligence und weitere Funktionen zur Modernisierung Ihres SOC. Durch den Einsatz der vollständigen SOC Prime-Produktsuite können Sicherheitsteams das Risiko von Schwachstellen­ausnutzung und neuen Bedrohungen effektiv reduzieren.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

CVE-2025-47981: Kritische heap-basierte Buffer Overflow-Schwachstelle in Windows SPNEGO Extended Negotiation
Blog, Neueste Bedrohungen — 3 min zu lesen
CVE-2025-47981: Kritische heap-basierte Buffer Overflow-Schwachstelle in Windows SPNEGO Extended Negotiation
Daryna Olyniychuk
CVE-2025-5777-Erkennung: Kritische Schwachstelle „CitrixBleed 2“ in NetScaler ADC mit hohem Ausnutzungsrisiko
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-5777-Erkennung: Kritische Schwachstelle „CitrixBleed 2“ in NetScaler ADC mit hohem Ausnutzungsrisiko
Veronika Telychko
CVE-2025-32463 und CVE-2025-32462-Erkennung: Sudo-Schwachstellen zur lokalen Rechteausweitung bedrohen Linux-Umgebungen
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-32463 und CVE-2025-32462-Erkennung: Sudo-Schwachstellen zur lokalen Rechteausweitung bedrohen Linux-Umgebungen
Veronika Telychko