FortiWebに深刻なSQLインジェクションの脆弱性、GUI経由での攻撃に注意(CVE-2025-25257)

セキュリティニュース

投稿日時: 更新日時:

FortiWebに深刻なSQLインジェクションの脆弱性、GUI経由での攻撃に注意(CVE-2025-25257)

2025年7月8日、Fortinet社は同社のWebアプリケーションファイアウォール「FortiWeb」において、認証不要で悪用可能な重大なSQLインジェクションの脆弱性(CVE-2025-25257)が存在することを公開しました。この脆弱性はGUI(管理画面)へのHTTP/HTTPSリクエストを通じて、外部の攻撃者が不正なSQLコマンドを実行できるという深刻な内容です。

脆弱性の概要

今回明らかになった脆弱性(CVE-2025-25257)は、Fortinet製のWebアプリケーションファイアウォール「FortiWeb」における管理画面(GUI)に対する未認証のSQLインジェクションです。具体的には、管理インターフェースに対して細工されたHTTPまたはHTTPSリクエストを送信することで、認証なしに任意のSQLコマンドを実行できる可能性があります。

この問題は、SQL文の構築時に外部から渡されるパラメータの入力値に対する検証や無害化(サニタイズ)が不適切であったことに起因しており、不正なSQLが実行されることで、データベース内部の情報漏洩や改ざん、さらにはシステム全体の乗っ取りといった深刻な被害に発展する可能性があります。

Fortinetはこの脆弱性に対してCVSS v3スコアで9.6という非常に高い深刻度(クリティカル)を割り当てており、即時のアップデート対応が推奨されています。

また、攻撃者に認証情報が不要であるという性質上、インターネット経由でも容易に悪用されうる点が、特に危険視されています。

対象バージョンと対応状況

バージョン系列 影響を受けるバージョン 修正済みバージョン
FortiWeb 7.6 7.6.0 ~ 7.6.3 7.6.4 以降
FortiWeb 7.4 7.4.0 ~ 7.4.7 7.4.8 以降
FortiWeb 7.2 7.2.0 ~ 7.2.10 7.2.11 以降
FortiWeb 7.0 7.0.0 ~ 7.0.10 7.0.11 以降

対象バージョンを使用している組織は、**早急にパッチ適用(アップグレード)**を行うことが強く推奨されます。

一時的な回避策

もし即時のアップデートが難しい場合は、HTTP/HTTPSによるGUI管理インターフェースの無効化が暫定的な回避策として案内されています。ただし、この措置は運用に影響を及ぼすため、あくまで一時的な対応にとどめるべきです。

発見と公開経緯

この脆弱性は、GMOサイバーセキュリティ byイエラエの川根 健太郎により報告され、Fortinetは責任ある開示のもと、2025年7月8日に公式に情報を公開しまsした。