Exploit für kritische FortiWeb-Lücke veröffentlicht

Fortinet hat am Donnerstag ein wichtiges Sicherheitsupdate für seine FortiWeb-Produkte veröffentlicht. Grund ist eine kritische SQL-Injection-Lücke (CVE-2025-25257, CVSS 9.6), die es Angreifern erlaubt, aus dem Internet heraus beliebigen Code auszuführen – und zwar ohne vorherige Authentifizierung. Erste Proof-of-Concept-Exploits sind bereits im Umlauf.

IT-Forscher von Watchtowr und ein weiterer Sicherheitsforscher mit dem Pseudonym „faulty *ptrrr“ zeigen in detaillierten Analysen, wie sich die Lücke ausnutzen lässt – unter anderem durch Missbrauch von SQL-Befehlen wie INTO OUTFILE. Besonders brisant: Auf betroffenen FortiWeb-Systemen läuft der MySQL-Dienst offenbar mit Root-Rechten.

Admin-Teams wird dringend geraten, betroffene FortiWeb-Versionen umgehend zu patchen. Updates stehen für Versionen ab 7.0.11 zur Verfügung. Angriffe dürften angesichts verfügbarer Exploits nur eine Frage der Zeit sein.

Related Posts

Windows: Remote Code Execution durch SPNEGO/NEGOEX-Schwachstelle (CVE-2025-47981)

Das Microsoft Security Response Center (MSRC) hat eine kritische Sicherheitslücke in mehreren Windows-Versionen veröffentlicht. Die Schwachstelle mit der Kennung CVE-2025-47981 betrifft den SPNEGO Extended Negotiation (NEGOEX) Sicherheitsmechanismus und ermöglicht potenziell eine Remote Code Execution (RCE) ohne Benutzerinteraktion.

Read More

Cisco Unified Communications Manager: Kritische SSH-Sicherheitslücke entdeckt

Cisco hat eine kritische Sicherheitslücke (CVE-2025-20309) in Cisco Unified Communications Manager (Unified CM) und Unified CM Session Management Edition (SME) bekannt gegeben. Die Schwachstelle (Advisory ID: cisco-sa-cucm-ssh-m4UBdpE7) erlaubt es einem nicht authentifizierten, entfernten Angreifer, sich mit statischen Root-Zugangsdaten auf betroffenen Systemen anzumelden und beliebige Befehle mit Root-Rechten auszuführen.

Read More

Schwachstelle in Trend Micro Cleaner One Pro ermöglicht Rechteausweitung

Eine neu entdeckte Sicherheitslücke mit der Kennung EUVD-2025-21043 (auch bekannt als CVE-2025-53503) betrifft die Software Trend Micro Cleaner One Pro in Versionen vor 6.8.323.

Read More