ГлавнаяБаза уязвимостей БДУ → BDU:2025-08439
10критическая

BDU:2025-08439 (CVE-2025-25257)

Уязвимость функции get_fabric_user_by_token() компонента Fabric Connector межсетевого экрана веб-приложений FortiWeb, позволяющая нарушителю выполнить произвольный код или произвольные команды
Опубликовано: 2025-07-14
Описание

Уязвимость функции get_fabric_user_by_token() компонента Fabric Connector межсетевого экрана веб-приложений FortiWeb связана с некорректной обработкой HTTP-запросов с заголовком Authorization. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или произвольные команды путем отправки специально созданных HTTP- и HTTPs-запросов

Затрагиваемое ПО и версии
FortiWeb (от 7.0.0 до 7.0.10 включительно)FortiWeb (от 7.2.0 до 7.2.10 включительно)FortiWeb (от 7.6.0 до 7.6.3 включительно)FortiWeb (от 7.4.0 до 7.4.7 включительно)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение веб-интерфейса управления уязвимого устройства;
- сегментирование сети с целью ограничения доступа к уязвимому устройству из других подсетей;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к системе из внешних сетей (Интернет).
- отключение возможности использования протоколов HTTP и HTTPS в соответствии с инструкцией разработчика:
(https://docs.fortinet.com/document/fortiweb/7.6.2/administration-guide/685507/how-to-use-the-web-ui)
- Войдите в режим конфигурации:
config web-proxy (или webfilter)
Примечание: команда может различаться в зависимости от версии FortiOS. Проверьте документацию для вашей конкретной версии, если web-proxy не работает.

- Отключите HTTP-сервер:
set http-server disable
- Выйдите из режима конфигурации:
end

- Сохраните изменения (необязательно, но рекомендуется):
copy running-config startup-config
Эта команда сохраняет текущую конфигурацию, чтобы она применялась после перезагрузки устройства.


Шаги для отключения HTTPS-сервера:
- Войдите в режим конфигурации:
config web-proxy (или webfilter)

- Отключите HTTPS-сервер:
set https-server disable
- Выйдите из режима конфигурации:
end

- Сохраните изменения (необязательно, но рекомендуется):
copy running-config startup-config

Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-25-151

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://fortiguard.fortinet.com/psirt/FG-IR-25-151https://www.securitylab.ru/news/561315.phphttps://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/?utm_source=Securitylab.ruhttps://github.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257?ref=labs.watchtowr.com
Проверьте безопасность своего сайта и почты → Полная проверка домена