Vulnerabilidades y Avisos de Seguridad: Inyección SQL en FortiWeb de Fortinet

Inyección SQL en FortiWeb de Fortinet

Recursos Afectados
  • FortiWeb 7.6, versiones desde la 7.6.0 hasta la 7.6.3;
  • FortiWeb 7.4, versiones desde la 7.4.0 hasta la 7.4.7;
  • FortiWeb 7.2, versiones desde la 7.2.0 hasta la 7.2.10;
  • FortiWeb 7.0, versiones desde la 7.0.0 hasta la 7.0.10.
Descripción

Kentaro Kawane de GMO Cybersecurity ha informado de esta vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos a través de solicitudes HTTP o HTTPS manipuladas.

Identificador
INCIBE-2025-0368

5 – Crítica
Solución

Para cada versión actualizar a la siguiente versión o superior:

  • FortiWeb 7.6 – 7.6.4;
  • FortiWeb 7.4 – 7.4.8;
  • FortiWeb 7.2 – 7.2.11;
  • FortiWeb 7.0 – 7.0.11.

En caso de que no sea posible instalar la actualización, se recomienda deshabilitar la interfaz de administración HTTP/HTTPS.

Detalle

FortiWeb tiene una vulnerabilidad de neutralización incorrecta de elementos especiales en un comando SQL (inyección SQL / SQL injection) que puede permitir a un atacante, no autenticado, ejecutar, sin autorización, código SQL o comandos mediante una solicitud HTTP o HTTPS manipulada. De esta forma un atacante podría acceder a datos sensibles, alterar el contenido de la base de datos o comprometer el backend de los sistemas.

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.