CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação
Após a divulgação recente da CVE-2025-47981, uma vulnerabilidade crítica de estouro de buffer baseado em heap no mecanismo SPNEGO Extended Negotiation do Windows, as equipes de segurança agora enfrentam outra ameaça significativa, desta vez afetando o firewall de aplicações web FortiWeb da Fortinet. Identificada como CVE-2025-25257 e com uma pontuação CVSS de 9.6, esta vulnerabilidade é uma falha de injeção SQL não autenticada que permite a execução de comandos SQL arbitrários por meio de requisições HTTP ou HTTPS especialmente manipuladas.
A exploração de vulnerabilidades continua sendo um dos principais métodos utilizados por atacantes para obter acesso inicial a redes-alvo. Em 2025, esse tipo de atividade aumentou 34% em comparação com o ano anterior, contribuindo para o aumento significativo de violações de segurança. Com código de prova de conceito (PoC) para a CVE-2025-25257 já circulando na internet, a detecção precoce de tentativas de exploração é essencial. Para responder de forma eficaz, as equipes de segurança precisam de conteúdo de detecção curado e ferramentas de segurança relevantes para acompanhar o cenário de ameaças atual e agressivo.
Cadastre-se na Plataforma SOC Prime para acessar o feed global de ameaças ativas, que fornece inteligência de ameaças cibernéticas em tempo real e algoritmos de detecção curados, respaldados por um conjunto completo de produtos para engenharia de detecção com IA, threat hunting automatizado e detecção avançada. Todas as regras são compatíveis com diversos formatos de SIEM, EDR e Data Lake, e estão mapeadas para o framework MITRE ATT&CK®. Além disso, cada regra é enriquecida com links de CTI, cronologias de ataques, configurações de auditoria, recomendações de triagem e outros contextos relevantes. Clique no botão Explorar Detecções para visualizar o stack completo de detecções para defesa proativa contra vulnerabilidades críticas, filtradas pela tag “CVE”.
Os engenheiros de segurança também podem utilizar o Uncoder AI — uma IA privada e não agente, criada especialmente para engenharia de detecção baseada em ameaças. Com o Uncoder, os defensores podem converter automaticamente IOCs em consultas de busca utilizáveis, criar regras de detecção a partir de relatórios brutos, prever etiquetas ATT&CK, otimizar consultas com IA e traduzir conteúdo de detecção entre múltiplas plataformas.
Análise da CVE-2025-25257
De acordo com o comunicado da Fortinet, a vulnerabilidade CVE-2025-25257 decorre da neutralização inadequada de elementos especiais usados em instruções SQL. Isso permite que um atacante não autenticado execute comandos SQL maliciosos através de requisições HTTP ou HTTPS manipuladas. Em uma análise recente da watchTowr Labs, os pesquisadores apontam a função get_fabric_user_by_token como a causa raiz. Essa função faz parte do componente Fabric Connector, que conecta o FortiWeb a outros produtos Fortinet.
A falha ocorre porque os dados controlados pelo atacante — enviados por meio de uma requisição HTTP manipulada — são inseridos diretamente em uma consulta SQL sem validação adequada. Essa falta de sanitização permite a injeção e execução de código SQL malicioso. Além disso, o ataque pode ser elevado a execução remota de código usando uma instrução SELECT … INTO OUTFILE para gravar um payload malicioso no sistema de arquivos. Como a consulta SQL é executada com o usuário “mysql”, o invasor pode gravar um arquivo no sistema operacional subjacente e potencialmente executá-lo via Python.
Segundo a Fortinet, várias versões do FortiWeb são afetadas pela CVE-2025-25257, e os usuários são fortemente aconselhados a aplicar os patches o mais rápido possível. As versões vulneráveis incluem FortiWeb da 7.6.0 à 7.6.3 (atualizar para a 7.6.4 ou posterior); FortiWeb da 7.4.0 à 7.4.7 (atualizar para a 7.4.8 ou posterior); FortiWeb da 7.2.0 à 7.2.10 (atualizar para a 7.2.11 ou posterior); e FortiWeb da 7.0.0 à 7.0.10 (atualizar para a 7.0.11 ou posterior).
Como medida provisória, a Fortinet recomenda desativar a interface administrativa HTTP/HTTPS até que os patches apropriados possam ser aplicados.
Para gerenciar proativamente a superfície de ataque crescente, as organizações podem contar com a Plataforma SOC Prime, que oferece o maior marketplace de regras de detecção do mundo, automação de threat hunting e engenharia de detecção, inteligência de ameaças nativa de IA e outras funcionalidades para transformar seu SOC. Ao aproveitar o portfólio completo de produtos da SOC Prime, as equipes de segurança podem reduzir efetivamente os riscos de exploração de vulnerabilidades e outras ameaças emergentes com maior previsibilidade.
