CVE-2025-25257: Vulnerabilidad crítica de inyección SQL en FortiWeb permite ejecución remota de código sin autenticación
Tras la reciente divulgación de CVE-2025-47981, una vulnerabilidad crítica de desbordamiento de búfer basado en heap en el mecanismo SPNEGO Extended Negotiation de Windows, los equipos de seguridad enfrentan ahora otra amenaza de alto impacto, esta vez relacionada con el firewall de aplicaciones web FortiWeb de Fortinet. Identificada como CVE-2025-25257 y con una puntuación CVSS de 9.6, esta vulnerabilidad corresponde a una inyección SQL no autenticada que permite a los atacantes ejecutar comandos SQL arbitrarios mediante solicitudes HTTP o HTTPS especialmente diseñadas.
La explotación de vulnerabilidades sigue siendo uno de los métodos principales que emplean los atacantes para obtener acceso inicial a las redes objetivo. En 2025, esta actividad aumentó un 34 % en comparación con el año anterior, lo que contribuyó significativamente al incremento de violaciones de seguridad. Con código de prueba de concepto (PoC) para CVE-2025-25257 ya circulando en línea, la detección temprana de intentos de explotación es crítica. Para responder eficazmente, los equipos de seguridad necesitan contenido de detección curado y herramientas adecuadas para hacer frente al panorama de amenazas cada vez más agresivo.
Regístrate en la Plataforma de SOC Prime para acceder al feed global de amenazas activas, que proporciona inteligencia de amenazas cibernéticas en tiempo real y algoritmos de detección curados, respaldados por una suite completa de productos para ingeniería de detección impulsada por IA, búsqueda automatizada de amenazas y detección avanzada. Todas las reglas son compatibles con múltiples formatos SIEM, EDR y Data Lake, y están mapeadas al framework MITRE ATT&CK®. Además, cada regla incluye enlaces a CTI, cronología de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Pulsa el botón Explorar Detecciones para ver todo el conjunto de reglas de detección frente a vulnerabilidades críticas, filtradas por la etiqueta “CVE”.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, una IA privada y no agente diseñada específicamente para la ingeniería de detección basada en amenazas. Con Uncoder, los defensores pueden convertir automáticamente IOCs en consultas de búsqueda útiles, crear reglas de detección a partir de informes sin procesar, habilitar predicción de etiquetas ATT&CK, optimizar consultas mediante IA y traducir contenido de detección entre múltiples plataformas.
Análisis de CVE-2025-25257
Según el aviso de Fortinet, la vulnerabilidad CVE-2025-25257 se origina por la neutralización incorrecta de elementos especiales utilizados en sentencias SQL. Esto permite que un atacante no autenticado ejecute comandos SQL no autorizados mediante solicitudes HTTP o HTTPS manipuladas. En un análisis reciente de watchTowr Labs, los investigadores identificaron una función llamada get_fabric_user_by_token como la causa raíz. Esta función forma parte del componente Fabric Connector, que sirve de puente entre FortiWeb y otros productos de Fortinet.
La vulnerabilidad se produce porque el input controlado por el atacante—entregado a través de una solicitud HTTP manipulada—se inserta directamente en una consulta SQL sin la debida sanitización. Esta falta de validación de entrada permite inyectar y ejecutar código SQL malicioso. Además, el ataque puede escalar a ejecución remota de código mediante una sentencia SELECT … INTO OUTFILE que escribe un payload malicioso en el sistema de archivos. Dado que la consulta SQL se ejecuta bajo el usuario “mysql”, el atacante puede dejar caer un archivo en el sistema operativo subyacente y potencialmente ejecutarlo mediante Python.
Según Fortinet, varias versiones de FortiWeb se ven afectadas por CVE-2025-25257, y se recomienda encarecidamente a los usuarios aplicar los parches cuanto antes. Las versiones vulnerables incluyen FortiWeb de la 7.6.0 a la 7.6.3, que debe actualizarse a la 7.6.4 o posterior; FortiWeb de la 7.4.0 a la 7.4.7, que requiere actualización a la 7.4.8 o posterior; FortiWeb de la 7.2.0 a la 7.2.10, que debe actualizarse a la 7.2.11 o posterior; y FortiWeb de la 7.0.0 a la 7.0.10, que debe actualizarse a la 7.0.11 o posterior.
Como solución temporal, Fortinet recomienda desactivar la interfaz administrativa HTTP/HTTPS hasta que se apliquen los parches correspondientes.
Para gestionar de forma proactiva la creciente superficie de ataque, las organizaciones pueden apoyarse en la Plataforma de SOC Prime, que ofrece el mayor marketplace del mundo de reglas de detección, automatización de threat hunting e ingeniería de detección, inteligencia de amenazas basada en IA, y más capacidades para transformar tu SOC. Aprovechando la suite completa de productos de SOC Prime, los equipos de seguridad pueden reducir eficazmente los riesgos de explotación de vulnerabilidades y otras amenazas emergentes que anticipan con mayor frecuencia.
