FortiWebにSQLインジェクションの脆弱性 CVSS 9.6でアップデート推奨：セキュリティニュースアラート

Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。

[後藤大地，有限会社オングス]

　Fortinetは2025年7月8日（現地時間）、同社のWebアプリケーションファイアウォール製品「FortiWeb」に深刻な脆弱（ぜいじゃく）性が存在することを公表した。脆弱性は「CVE-2025-25257」として登録されており、データベースへの不正アクセスや改ざん、システムの制御権奪取などのリスクが懸念される。

CVSS 9.6　FortiWebにSQLインジェクションの脆弱性

　報告された脆弱性は以下の通りだ。

• CVE-2025-25257：　SQLインジェクションの脆弱性。FortiWebのSQLコマンドで使用される特殊要素の不適切な無効化により、認証されていない攻撃者が細工したHTTPまたはHTTPSリクエストを介して不正なSQLコードまたはコマンドを実行する可能性がある。共通脆弱性評価システム（CVSS）スコアは9.6で、深刻度「緊急」（Critical）と評価されている

　影響を受けるFortiWebのバージョンは次の通りだ。

• FortiWeb 7.6.0〜7.6.3までのバージョン
• FortiWeb 7.4.0〜7.4.7までのバージョン
• FortiWeb 7.2.0〜7.2.10までのバージョン
• FortiWeb 7.0.0〜7.0.10までのバージョン

　修正後のFortiWebのバージョンは次の通り。

• FortiWeb 7.6.4およびこれ以降のバージョン
• FortiWeb 7.4.8およびこれ以降のバージョン
• FortiWeb 7.2.11およびこれ以降のバージョン
• FortiWeb 7.0.11およびこれ以降のバージョン

　Fortinetは即時のアップグレードが困難な場合に備え、一時的な緩和策として「HTTP／HTTPS管理インタフェースの無効化」を推奨している。ただし、この回避策は恒久的な解決策とはいえず、運用上の制限が生じる可能性がある。

　対象システムを運用している組織は速やかに該当バージョンを確認し、公式パッチの適用を実施することが望まれている。パッチの適用が遅れる場合、外部からの不正侵入のリスクが増すことになる。各企業や組織はセキュリティアドバイザリーを確認し、速やかにアップデートと必要な対策を実施することが求められる。