2025年7月18日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Fortinet製Webアプリケーションファイアウォール「FortiWeb」に存在する深刻な脆弱性(CVE-2025-25257)を、”Known Exploited Vulnerabilities(KEV)” カタログに追加したと発表しました。
これは、すでに実際の攻撃で悪用されていることが確認された脆弱性を一覧化したものであり、対象の脆弱性に対する迅速な対応を強く求める重要な指標です。
CISAによるKEVカタログ追加の意味
KEVカタログは、BOD(Binding Operational Directive)22-01に基づき、連邦政府機関に対して修正対応を義務づける目的で運用されています。 今回CVE-2025-25257が追加されたことは、次の事実を意味します
- 実際の攻撃キャンペーンで既に悪用されている
- 連邦政府ネットワークにとって重大なリスクとなる
- 全ての組織にとっても深刻な脅威であるため、即時のパッチ適用が推奨される
脆弱性の影響範囲:複数バージョンにわたる深刻な影響
| バージョン系列 | 影響を受けるバージョン | 修正済みバージョン |
|---|---|---|
| FortiWeb 7.6 | 7.6.0 ~ 7.6.3 | 7.6.4 以降 |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.7 | 7.4.8 以降 |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.10 | 7.2.11 以降 |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.10 | 7.0.11 以降 |
CVSSスコアは9.6~9.8とされており、極めて深刻な脆弱性と評価されています。
脆弱性の概要
この脆弱性は、FortiWebにおけるFabric Connectorコンポーネント内の関数 get_fabric_user_by_token に起因しています。この関数は、HTTPヘッダーのAuthorizationトークンをサニタイズせずにSQLクエリへ直接埋め込んでおり、攻撃者が任意のSQLを注入できる状態にあります。
snprintf(s, 0x400u, "select id from fabric_user.user_table where token='%s'", a1);
この不備により、外部からの入力に対するSQLインジェクションが可能となり、さらにMySQLのSELECT INTO OUTFILE機能などを組み合わせることで、システム内への任意ファイル書き込み、ひいてはリモートコード実行(RCE)へと至る可能性があります。








