背景图片取自Milad Fakurian on Unsplash

Fortinet本周释出安全公告，修补网页应用防火墙（Web Application Firewall，WAF）产品的重大风险漏洞，若不处理可能导致SQL程序码注入（SQL Injection）攻击。

本漏洞编号CVE-2025-25257，为对SQL指令中特殊元件的不当中和（improper neutralization），即未对输入的特殊字符进行适当处理，导致这些字符被SQL引擎误判为SQL指令，形成SQL 注入（SQL Injection）。本漏洞可让未经授权的攻击者可经由传送HTTP或HTTPS呼叫，执行SQL程序码或指令。CVSS风险值达9.6。

最新漏洞是由GMO Cybersecurity 研究人员Kentaro Kawane于7月通报，影响FortiWeb 7.0、7.2、7.4到7.6。Fortinet已经释出更新。

若用户未能及时安装新版软件，应关闭HTTP/HTTPS管理员介面防堵SQL指令执行。