-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheid verholpen in FortiWeb
Advisory ID : NCSC-2025-0226
Versie : 1.01
Kans : medium
CVE ID : CVE-2025-25257
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Neutralization of Special Elements used in an
SQL Command ('SQL Injection')
Uitgiftedatum : 20250711
Toepassing : Fortinet FortiWeb
Versie(s) :
Platform(s) :
Update
Er is een analyse verschenen waaruit Proof-of-Concept-Code (PoC) kan
worden gemaakt. Een toename in pogingen tot misbruik wordt hiermee
verwacht.
Beschrijving
Fortinet heeft een kwetsbaarheid verholpen in FortiWeb.
De kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om
ongeautoriseerde SQL-commando's uit te voeren door speciaal
vervaardigde HTTP-verzoeken te verzenden. Dit kan de integriteit en
vertrouwelijkheid van de door FortiWeb beheerde gegevens in gevaar
brengen.
Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de
HTTP Administrative interface. Het is goed gebruik een dergelijke
interface niet publiek toegankelijk te hebben, maar af te steunen in
een separaat beheer-lan.
Onderzoekers hebben een analyse gepubliceerd waarmee mogelijk
werkende Proof-of-Concept-code kan worden geschreven. De werking is
afhankelijk van de specifieke installatie, waardoor een universele
PoC niet eenvoudig is te ontwikkelen. Het NCSC acht een toename in
scanverkeer en pogingen tot misbruik wel waarschijnlijk. Hierom
adviseert het NCSC om in elk geval de Administrative interface
ontoegankelijk te maken vanaf externe netwerken, of deze, conform de
door FortiNet geadviseerde mitigerende maatregel uit te schakelen.
Mogelijke oplossingen
Fortinet heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
Als mitigerende maatregel adviseert FortiNet om de Administrative
interface uit te schakelen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - certbundde
https://www.fortiguard.com/psirt/FG-IR-25-151
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=sYi3
-----END PGP SIGNATURE-----
