اکسپلویت اثبات مفهومی (Proof-of-Concept) برای یک آسیبپذیری حیاتی SQLi در Fortinet FortiWeb منتشر شده است که میتواند برای دستیابی به اجرای کد بهصورت از راه دور (RCE)، بدون نیاز به احراز هویت روی سرورهای آسیبپذیر مورد استفاده قرار گیرد.
شدت این آسیبپذیری 9.8 – از 10 – گزارش شده و به آن شناسه CVE-2025-25257 تخصیص داده شده است.
مهاجم میتواند با ارسال درخواستهای HTTP یا HTTPS دستکاریشده از آسیبپذیری مذکور سوءاستفاده کند.
20 تیر، محققان، اقدام به انتشار جزییات فنی و اکسپلویت به اصطلاح مفهومی (PoC) آن کردند.
با توجه به انتشار PoC آن بهصورت عمومی، توصیه اکید میشود که راهبران در اسرع وقت اقدام به نصب بهروزرسانی مربوطه کنند.
در حال حاضر، هیچ نشانهای از سوءاستفاده فعال از این آسیبپذیری گزارش نشده است، اما به احتمال زیاد این وضعیت در آینده نزدیک تغییر خواهد کرد.
توصیهنامه فورتینت در خصوص CVE-2025-25257 در لینک زیر قابلمطالعه است: