Fortinet修補網頁應用程式防火牆重大SQL注入漏洞

Fortinet本周釋出安全公告，修補網頁應用防火牆（Web Application Firewall，WAF）產品的重大風險漏洞，若不處理可能導致SQL程式碼注入（SQL Injection）攻擊。

本漏洞編號CVE-2025-25257，為對SQL指令中特殊元件的不當中和（improper neutralization），即未對輸入的特殊字符進行適當處理，導致這些字符被SQL引擎誤判為SQL指令，形成SQL 注入（SQL Injection）。本漏洞可讓未經授權的攻擊者可經由傳送HTTP或HTTPS呼叫，執行SQL程式碼或指令。CVSS風險值達9.6。

最新漏洞是由GMO Cybersecurity 研究人員Kentaro Kawane於7月通報，影響FortiWeb 7.0、7.2、7.4到7.6。Fortinet已經釋出更新。

若用戶未能及時安裝新版軟體，應關閉HTTP/HTTPS管理員介面防堵SQL指令執行。