2025년 7월 8일, Fortinet은 자사의 웹 애플리케이션 방화벽(WAF) 솔루션인 FortiWeb에서 발견된 치명적인 SQL 인젝션 취약점(CVE-2025-25257)에 대한 긴급 보안 패치를 발표했습니다. 이 취약점은 FortiWeb의 관리자 GUI(Graphical User Interface) 구성 요소에 존재하며, 인증되지 않은 공격자가 조작된 HTTP 또는 HTTPS 요청을 통해 임의의 SQL 코드를 실행할 수 있도록 허용합니다.
이 취약점은 CVSS v3 점수 9.6점으로 '치명적(Critical)' 수준으로 평가되었으며, 다수의 보안 기관에서 높은 위험성을 경고하고 있습니다. 그리고 보안 연구원들에 의해 개념 증명(PoC) 익스플로잇 코드가 공개되어 공격 가능성이 매우 높아 즉각적인 패치 적용이 강력히 권고됩니다.
FortiWeb의 SQL 명령('SQL 주입') 취약점[CWE-89]에 사용된 특수 요소의 부적절한 무력화로 인해 인증되지 않은 공격자가 조작된 HTTP 또는 HTTPs 요청을 통해 승인되지 않은 SQL 코드나 명령을 실행할 수 있습니다.