Fortinet FortiWeb est un pare-feu d’applications web (WAF) qui protège les applications web et les API contre les attaques. Son Fabric Connector intègre FortiWeb à l’écosystème de sécurité plus large de Fortinet. La CVE-2025-25257 est une vulnérabilité critique d’injection SQL dans ce connecteur, permettant à un attaquant distant non authentifié d’exécuter du code sur l’appareil, avec un risque de compromission complète du système.
| Produit | Cisco ISE |
| Date | 22/07/2025 10:02:04 |
Résumé technique
La vulnérabilité réside dans la fonction get_fabric_user_by_token, qui gère de manière inappropriée l’en-tête Authorization, permettant une injection SQL via le point de terminaison /api/fabric/device/status sans nécessiter d’authentification. En exploitant cette faille, un attaquant peut écrire des fichiers malveillants en tant qu’utilisateur root en utilisant la commande SELECT INTO OUTFILE de MySQL, en plaçant un fichier Python .pth spécialement conçu qui déclenche l’exécution de code à distance via un script Python CGI (ml-draw.py). Cette attaque en plusieurs étapes désactive de fait la protection offerte par le WAF et compromet l’ensemble du système. Le défaut est activement exploité dans des environnements réels.
Recommandations
- Appliquez immédiatement la mise à jour vers les versions FortiWeb 7.6.4, 7.4.8, 7.2.11, 7.0.11 ou ultérieures.
- Désactivez temporairement l’interface d’administration HTTP/HTTPS en cas de retard dans l’application du correctif.
- Surveillez le trafic réseau pour détecter les appels API suspects et recherchez la présence de fichiers .pth non autorisés.
- Isolez les interfaces d’administration sur des réseaux sécurisés, en évitant toute exposition publique.
[Callforaction-THREAT-Footer]
Leave a Reply