Aller au contenu

Alerte de sécurité : Fortinet FortiWeb

Infos Cyber

juillet 10, 2025

59 secondes de lecture

Une faille critique a été découverte dans FortiWeb, le WAF de Fortinet, référencée sous CVE-2025-25257 (CVSS 9.6/10).
Elle permet à un attaquant non authentifié d’exécuter des requêtes SQL malveillantes via l’interface d’administration — sans login, simplement par HTTP/HTTPS.
Un WAF vulnérable, c’est une passerelle ouverte sur vos applications et vos données.

Impact

  • Exécution de commandes SQL arbitraires
  • Élévation de privilèges
  • Exfiltration potentielle de données sensibles
  • Exploitable à distance sans authentification.

Versions concernées

  • 7.6.0 à 7.6.3 → patch 7.6.4
  • 7.4.0 à 7.4.7 → patch 7.4.8
  • 7.2.0 à 7.2.10 → patch 7.2.11
  • 7.0.0 à 7.0.10 → patch 7.0.11

Mesures recommandées

  • Appliquer immédiatement les mises à jour fournies par Fortinet
  • Désactiver l’interface admin HTTP/HTTPS si la mise à jour n’est pas possible rapidement
Bulletin de sécurité Fortinet
Avis du CERT-FR

Partager :

Abonnez-vous à la newsletter
Breizh Cyber