CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification

À la suite de la divulgation récente de CVE-2025-47981, une vulnérabilité critique de dépassement de tampon basé sur le tas dans le mécanisme SPNEGO Extended Negotiation de Windows, les équipes de sécurité sont confrontées à une autre menace majeure, cette fois touchant le pare-feu applicatif FortiWeb de Fortinet. Répertoriée sous le nom de CVE-2025-25257 avec un score CVSS de 9,6, cette vulnérabilité permet une injection SQL non authentifiée, autorisant les attaquants à exécuter des commandes SQL arbitraires via des requêtes HTTP ou HTTPS spécialement conçues.

L’exploitation des vulnérabilités reste l’un des principaux vecteurs d’intrusion utilisés par les cybercriminels pour compromettre des réseaux. En 2025, cette activité a augmenté de 34 % par rapport à l’année précédente, contribuant à une hausse notable des violations de sécurité. Avec du code PoC (proof-of-concept) déjà en circulation pour CVE-2025-25257, il est impératif de détecter rapidement toute tentative d’exploitation. Les équipes de sécurité ont besoin de contenus de détection spécialisés et d’outils pertinents pour suivre le rythme du paysage actuel des menaces.

Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial des menaces actives, incluant des renseignements en temps réel, des algorithmes de détection enrichis, ainsi qu’une suite complète de produits pour l’ingénierie de détection assistée par IA, le threat hunting automatisé et la détection avancée. Toutes les règles sont compatibles avec divers formats SIEM, EDR et Data Lake, et mappées au framework MITRE ATT&CK®. Chaque règle est enrichie de liens CTI, de chronologies d’attaque, de configurations d’audit, de recommandations de triage, et plus encore. Cliquez sur le bouton Explorer les Détections pour consulter l’ensemble des règles axées sur les vulnérabilités critiques via le tag “CVE”.

Explorer les Détections

Les ingénieurs sécurité peuvent également tirer parti de Uncoder AI, une intelligence artificielle privée sans agent dédiée à l’ingénierie de détection orientée menaces. Avec Uncoder, les analystes peuvent automatiquement transformer des IOCs en requêtes exploitables, générer des règles à partir de rapports bruts, prédire les balises ATT&CK, optimiser les requêtes avec l’IA et traduire le contenu de détection pour plusieurs plateformes.

Analyse de CVE-2025-25257

Selon l’avis de sécurité de Fortinet, la vulnérabilité CVE‑2025‑25257 provient d’une neutralisation inadéquate de caractères spéciaux dans les instructions SQL. Cela permet à un attaquant non authentifié d’exécuter des commandes SQL via des requêtes HTTP/HTTPS malveillantes. Une analyse de watchTowr Labs attribue l’origine de la faille à la fonction `get_fabric_user_by_token`, partie intégrante du composant Fabric Connector qui relie FortiWeb aux autres produits Fortinet.

Le problème provient du fait que les entrées contrôlées par l’attaquant sont directement insérées dans des requêtes SQL sans validation suffisante. Cela permet l’injection et l’exécution de commandes SQL malicieuses. L’attaque peut même évoluer en exécution de code à distance (RCE) via une commande `SELECT … INTO OUTFILE`, permettant à l’attaquant de déposer une charge utile sur le système de fichiers sous l’utilisateur `mysql` et de l’exécuter potentiellement via Python.

Fortinet indique que plusieurs versions de FortiWeb sont vulnérables à CVE‑2025‑25257 et recommande fortement de les corriger sans délai. Les versions affectées incluent : FortiWeb 7.6.0 – 7.6.3 → **mettre à jour vers 7.6.4 ou version ultérieure** FortiWeb 7.4.0 – 7.4.7 → **mettre à jour vers 7.4.8 ou version ultérieure** FortiWeb 7.2.0 – 7.2.10 → **mettre à jour vers 7.2.11 ou version ultérieure** FortiWeb 7.0.0 – 7.0.10 → **mettre à jour vers 7.0.11 ou version ultérieure**

En guise de solution temporaire, Fortinet recommande de **désactiver l’interface d’administration HTTP/HTTPS** jusqu’à ce que les correctifs soient appliqués.

Pour mieux gérer une surface d’attaque en constante évolution, les entreprises peuvent s’appuyer sur la plateforme SOC Prime, qui offre le plus grand marketplace mondial de règles de détection, l’automatisation du threat hunting et de l’ingénierie de détection, une intelligence des menaces native à l’IA, et bien plus encore pour moderniser votre SOC. En exploitant la suite complète de produits SOC Prime, les équipes sécurité peuvent réduire efficacement les risques liés aux vulnérabilités et aux menaces émergentes les plus attendues.