FortiWeb API 与 CLI 多处命令注入漏洞(CVE-2025-58034)预警
1、基本情况
Fortinet FortiWeb 是 Fortinet 公司推出的 Web 应用防火墙(WAF),用于保护网站和 Web 应用免受 SQL 注入、跨站脚本(XSS)、文件包含等常见攻击。它支持基于策略的流量检测、虚拟补丁、API安全和机器学习建模,适用于企业级应用防护,常部署于数据中心、云平台和混合环境中,可与 Fortinet 安全生态系统集成,实现动态安全防护。
近日,监测发现 Fortinet 官方修复了 Google Chrome V8 类型混淆漏洞(CVE-2025-13223),该漏洞源于 API 与 CLI 接口对输入内容缺乏有效过滤,允许经过身份验证的攻击者通过构造特定的 HTTP 请求或 CLI 指令,将恶意命令注入系统中并在底层操作系统上执行。成功利用此漏洞的攻击者可获取超出授权范围的执行权限,从而可能导致系统被完全控制、配置遭篡改或进一步横向渗透。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ 8.0.0 <= FortiWeb <= 8.0.1
⚫ 7.6.0 <= FortiWeb <= 7.6.5
⚫ 7.4.0 <= FortiWeb <= 7.4.10
⚫ 7.2.0 <= FortiWeb <= 7.2.11
⚫ 7.0.0 <= FortiWeb <= 7.0.11
3、处置建议
官方已发布安全补丁,请及时升级至最新版本:
⚫ FortiWeb >= 8.0.2
⚫ FortiWeb >= 7.6.6
⚫ FortiWeb >= 7.4.11
⚫ FortiWeb >= 7.2.12
⚫ FortiWeb >= 7.0.12
下载地址:https://fortiguard.fortinet.com/psirt/FG-IR-25-513/
4、参考链接
1) https://fortiguard.fortinet.com/psirt/FG-IR-25-513/
2) https://nvd.nist.gov/vuln/detail/CVE-2025-58034