ニュース
FortiWebにSQLインジェクションの脆弱性 CVSS 9.6でアップデート推奨:セキュリティニュースアラート
Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。
Fortinetは2025年7月8日(現地時間)、同社のWebアプリケーションファイアウォール製品「FortiWeb」に深刻な脆弱(ぜいじゃく)性が存在することを公表した。脆弱性は「CVE-2025-25257」として登録されており、データベースへの不正アクセスや改ざん、システムの制御権奪取などのリスクが懸念される。
CVSS 9.6 FortiWebにSQLインジェクションの脆弱性
報告された脆弱性は以下の通りだ。
- CVE-2025-25257: SQLインジェクションの脆弱性。FortiWebのSQLコマンドで使用される特殊要素の不適切な無効化により、認証されていない攻撃者が細工したHTTPまたはHTTPSリクエストを介して不正なSQLコードまたはコマンドを実行する可能性がある。共通脆弱性評価システム(CVSS)スコアは9.6で、深刻度「緊急」(Critical)と評価されている
影響を受けるFortiWebのバージョンは次の通りだ。
- FortiWeb 7.6.0〜7.6.3までのバージョン
- FortiWeb 7.4.0〜7.4.7までのバージョン
- FortiWeb 7.2.0〜7.2.10までのバージョン
- FortiWeb 7.0.0〜7.0.10までのバージョン
修正後のFortiWebのバージョンは次の通り。
- FortiWeb 7.6.4およびこれ以降のバージョン
- FortiWeb 7.4.8およびこれ以降のバージョン
- FortiWeb 7.2.11およびこれ以降のバージョン
- FortiWeb 7.0.11およびこれ以降のバージョン
Fortinetは即時のアップグレードが困難な場合に備え、一時的な緩和策として「HTTP/HTTPS管理インタフェースの無効化」を推奨している。ただし、この回避策は恒久的な解決策とはいえず、運用上の制限が生じる可能性がある。
対象システムを運用している組織は速やかに該当バージョンを確認し、公式パッチの適用を実施することが望まれている。パッチの適用が遅れる場合、外部からの不正侵入のリスクが増すことになる。各企業や組織はセキュリティアドバイザリーを確認し、速やかにアップデートと必要な対策を実施することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
インフォスティーラーの脅威が本格化しつつある中、組織と個人ともに改めてマルウェア対策を再考する必要がありそうです。ただ最近、「有料のウイルス対策ソフト不要説」がちらほらと出ているようです。一体どういうことでしょうか。
多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
国内でのフィッシング被害が激化する中、多要素認証を突破する攻撃も登場しています。こうした高度な攻撃に対処するには個人を含めた組織全体でセキュリティリテラシーを向上させる必要があります。ではそのためにはどうすればいいのでしょうか。
Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に
セキュリティ研究者が、Lenovo製PCのWindowsシステムフォルダにAppLocker回避に悪用可能な脆弱ファイルが存在すると報告した。ACL設定不備により標準ユーザーでも書き込みができ、悪用可能とされている。
Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。