Kritiske sårbarheder i Fortinet-produkter

Der er blevet observeret en kritisk "Unauthenticated SQL injection" sårbarhed i FortiWeb, og ligeledes en "Command injection" sårbarhed i FortiVoice. 

Sårbarhederne har fået tildelt id-numrene CVE-2025-25257 og CVE-2025-47856. CVSS-scoren er på hhv. 9,6 og 7,2.

De berørte systemer er følgende:

• FortiWeb 7.6.0 op til og med 7.6.3
• FortiWeb 7.4.0 op til og med 7.4.7
• FortiWeb 7.2.0 op til og med 7.2.10
• FortiWeb 7.0.0 op til og med 7.0.10
• FortiVoice 7.2.0
• FortiVoice 7.0.0 op til og med 7.0.6
• FortiVoice 6.4.0 op til og med 6.4.10

CVE-2025-25257 vedrører en forkert neutralisering af specielle elementer, der anvendes i en SQL-kommando i FortiWeb. Sårbarheden kan muliggøre, at en ondsindet aktør kan udføre uautoriseret SQL-kode og/eller kommandoer via fremstillede HTTP- eller HTTPS-anmodninger. Der findes en "work around", hvor HTTP/HTTPS på den administrativ grænseflade deaktiveres.

CVE-2025-47856 vedrører to fejlbehæftede neutraliseringer af specielle elementer brugt i en OS-kommando i FortiVoice. Sårbarheden kan tillade en ondsindet aktør at udføre vilkårlig kode eller kommandoer via udformede HTTP/HTTPS eller CLI-anmodninger.

Der er ikke rapporteret om aktiv udnyttelse, men som altid anbefales det at opdatere de sårbare installationer med det samme, jvf. producentens anvisninger.

Det bemærkes, at CVE-numrene pt. er reserveret. Dette kan skyldes igangværende undersøgelser, hvorfor oplysninger om sårbarhederne vil blive opdateret, når detaljerne er tilgængelige. Af samme årsag er der sårbarhederne ikke blevet tildelt et EUVD-nummer.