NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in FortiWeb
Advisory ID     : NCSC-2025-0226
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-25257
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Neutralization of Special Elements used in an
                  SQL Command ('SQL Injection')
Uitgiftedatum   : 20250711
Toepassing      : Fortinet FortiWeb
Versie(s)       :
Platform(s)     :

Beschrijving
   Fortinet heeft een kwetsbaarheid verholpen in FortiWeb.

   De kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om
   ongeautoriseerde SQL-commando's uit te voeren door speciaal
   vervaardigde HTTP-verzoeken te verzenden. Dit kan de integriteit en
   vertrouwelijkheid van de door FortiWeb beheerde gegevens in gevaar
   brengen.
   Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de
   HTTP Administrative interface. Het is goed gebruik een dergelijke
   interface niet publiek toegankelijk te hebben, maar af te steunen in
   een separaat beheer-lan.

Mogelijke oplossingen
   Fortinet heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Als mitigerende maatregel adviseert FortiNet om de Administrative
   interface uit te schakelen.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - certbundde
      https://www.fortiguard.com/psirt/FG-IR-25-151

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=cNcp
-----END PGP SIGNATURE-----