Uma falha crítica identificada como CVE-2025-25257 no FortiWeb — o firewall de aplicação web da Fortinet — está causando sérias preocupações na comunidade de segurança da informação. A vulnerabilidade, de gravidade elevada (CVSS 9.6), permite ataques de injeção de SQL, comprometendo diretamente a integridade de ambientes protegidos por essa solução.
Neste artigo, você entenderá a natureza técnica da falha, seu impacto potencial nas infraestruturas, as versões afetadas, e sobretudo, como agir imediatamente para mitigar os riscos. Em tempos em que os firewalls de aplicação web (WAFs) são a primeira linha de defesa contra ataques complexos, falhas como essa evidenciam a importância de atualizações rápidas e vigilância constante.
Compreendendo a vulnerabilidade CVE-2025-25257 no FortiWeb
A vulnerabilidade CVE-2025-25257 foi descoberta pelo pesquisador Kentaro Kawane, da watchTowr Labs, e já reconhecida pela Fortinet em seu portal oficial. Classificada sob o identificador CWE-89 (SQL Injection), a falha afeta diretamente o mecanismo de autenticação do FortiWeb, permitindo a manipulação de instruções SQL no banco de dados interno da aplicação.
Com pontuação CVSS 9.6, a falha é considerada crítica, pois pode levar à execução remota de código (RCE) ou até ao controle total do sistema, especialmente se combinada com técnicas como SELECT ... INTO OUTFILE.
O que é injeção de SQL e por que é tão perigosa?
Injeção de SQL (SQLi) é uma técnica de ataque em que comandos SQL maliciosos são inseridos em campos de entrada, com o objetivo de manipular ou extrair informações de um banco de dados. Essa vulnerabilidade pode levar a:
- Acesso não autorizado a dados confidenciais;
- Exclusão ou modificação de registros;
- Criação de contas privilegiadas;
- Execução de comandos no sistema operacional (em casos avançados de SQLi, como via
OUTFILE).
Por se tratar de uma falha que atinge o coração da lógica de autenticação, o risco de comprometimento total da segurança é elevado, principalmente em ambientes corporativos que dependem do FortiWeb para blindagem contra ataques web.
Detalhes técnicos da exploração
A vulnerabilidade reside nas funções internas get_fabric_user_by_token e fabric_access_check, ambas acessadas durante o processo de autenticação e autorização.
O vetor de ataque utiliza o cabeçalho HTTP Authorization para injetar comandos SQL, explorando falhas na sanitização dos dados. Como resultado, um invasor pode manipular consultas SQL para, por exemplo, escrever arquivos no sistema de arquivos do servidor FortiWeb por meio da instrução SELECT ... INTO OUTFILE, habilitando execução remota de código (RCE).
O ataque não requer autenticação prévia, aumentando significativamente sua gravidade e viabilidade em ambientes expostos à internet.
Versões afetadas e a solução urgente
Segundo o comunicado da Fortinet, as versões afetadas do FortiWeb são:
- FortiWeb 7.2.0 a 7.2.2
- FortiWeb 7.0.0 a 7.0.5
- FortiWeb 6.3.0 a 6.3.21
Medidas paliativas e a importância da atualização imediata
A Fortinet já disponibilizou correções para a vulnerabilidade nas seguintes versões:
- FortiWeb 7.2.3
- FortiWeb 7.0.6
- FortiWeb 6.3.22
Recomenda-se urgentemente aplicar o patch apropriado à sua versão do FortiWeb.
Como medida paliativa temporária, desabilitar o acesso à interface de gerenciamento do FortiWeb via internet é essencial. Além disso:
- Limite o acesso ao FortiWeb via VPN ou rede interna;
- Implemente regras de WAF adicionais para bloquear padrões suspeitos no cabeçalho Authorization;
- Monitore logs para detectar acessos anômalos ou repetitivos.
No entanto, essas ações não substituem a aplicação do patch, que é a única forma definitiva de corrigir a vulnerabilidade.
O histórico Fortinet e a responsabilidade de manter-se seguro
A Fortinet já esteve sob os holofotes em diversas ocasiões por vulnerabilidades críticas em produtos como FortiOS, FortiGate e FortiNAC. Em um cenário onde dispositivos de segurança são alvos preferenciais de atacantes, a empresa mantém um programa ativo de identificação e correção de falhas, mas depende dos administradores para aplicar essas correções rapidamente.
O caso do FortiWeb CVE-2025-25257 destaca a importância de:
- Monitorar alertas de segurança diretamente no portal da Fortinet;
- Manter políticas rígidas de atualização para equipamentos de segurança;
- Integrar o gerenciamento de patches à rotina de segurança corporativa.
Ignorar ou adiar a atualização de firewalls e WAFs pode abrir brechas fatais, que colocam em risco não apenas o perímetro, mas toda a infraestrutura de TI de uma organização.
Conclusão: Protegendo sua infraestrutura contra ameaças críticas
A vulnerabilidade CVE-2025-25257 no FortiWeb representa uma ameaça real e crítica para empresas que dependem de firewalls de aplicação web como camada essencial de defesa. A falha, explorável remotamente e sem autenticação, exige atenção imediata e aplicação urgente dos patches disponibilizados.
Mais do que um simples alerta, este incidente reforça a necessidade de uma cultura de segurança proativa, com monitoramento contínuo, resposta rápida a alertas e processos ágeis de atualização.
Agora é o momento de agir: revise sua infraestrutura, aplique os patches, e reforce suas políticas de segurança. A proteção da sua rede começa com a prevenção.
