Fortinet FortiWeb sql注入导致RCE漏洞复现(CVE-2025-25257)
免责申明:
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
前言:
我们建立了一个更多,更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。
更多详情:
https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X0x01 产品描述:
Fortinet FortiWeb 是一款云端API感知的Web应用防火墙(WAF),通过机器学习驱动的主动安全模型、自动化威胁特征码与高级 Bot 管理机制,有效防护 Web 应用和 API 免受 OWASP Top 10 等复杂攻击威胁(如注入攻击、跨站脚本、零日漏洞),具备低误报率,并支持本地物理设备、虚拟机、云环境及 SaaS 模式的多形态灵活部署,为企业关键 Web 应用资产提供强大且可扩展的综合防护,显著降低数据泄露与业务中断风险。
0x02 漏洞描述:
源于Fortinet FortiW