針對 Fortinet FortiWeb 中一個嚴重 SQLi 漏洞的概念驗證漏洞已被發布，該漏洞可用於在易受攻擊的伺服器上實現預先認證的遠端程式碼執行。FortiWeb 是一個 Web 應用程式防火牆 (WAF)，用於保護 Web 應用程式免受惡意 HTTP 流量和威脅。FortiWeb 漏洞的嚴重性評分為 9.8/10，編號為 CVE-2025-25257。 Fortinet 上週已在 FortiWeb 7.6.4、7.4.8、7.2.11 和 7.0.11 及更高版本中修復了漏洞。
該漏洞是由 GMO Cybersecurity 的 Kentaro Kawane 發現的，他上個月還披露了Cisco ISE 中的靜態硬編碼密碼漏洞。由於.pth檔案在執行Python時會自動載入並運行，研究人員發現了一個合法的FortiWeb CGI Python腳本（/cgi-bin/ml‑draw.py），該腳本可用於啟動.pth檔案中的惡意程式碼並實現遠端程式碼執行。該漏洞現已公開且廣泛存在，強烈建議管理員優先安裝修補程式以防止伺服器受到威脅。