FortiWeb 未授权RCE漏洞分析 (CVE-2025-25257)<\/h1>

漏洞概述<\/h2>
FortiWeb Fabric Connector 是 Fortinet 公司开发的用于连接 FortiWeb (Web应用防火墙)与其他 Fortinet 生态系统组件的中间件。该组件存在预授权SQL注入漏洞，攻击者可通过在 `Authorization: Bearer<\/code> 头中注入恶意SQL语句，最终实现远程代码执行(RCE)。<\/p>`

影响版本<\/h2>

7.6.0 <= FortiWeb <= 7.6.3<\/li>
7.4.0 <= FortiWeb <= 7.4.7<\/li>
7.2.0 <= FortiWeb <= 7.2.10<\/li>
7.0.0 <= FortiWeb <= 7.0.10<\/li>
<\/ul>
环境搭建<\/h2>


从 Fortinet 官方下载页面获取受影响版本的 FortiWeb VM 镜像：<\/p>
https:\/\/support.fortinet.com\/support\/#\/downloads\/vm
<\/code><\/pre>
<\/li>

下载并安装 FortiWeb V7.6.3 虚拟机<\/p>
<\/li>

完成基础服务配置后，可通过以下命令查看接口信息：<\/p>
# 查看接口信息命令<\/span>
<\/span><\/span><\/code><\/pre><\/li>

配置网络网关确保测试环境可达<\/p>
<\/li>
<\/ol>
漏洞分析<\/h2>
漏洞位置<\/h3>
漏洞存在于 \/bin\/httpsd<\/code> 进程的 get_fabric_user_by_token<\/code> 函数中，该函数存在明显的字符串拼接问题。<\/p>
调用链分析<\/h3>

fabric_access_check<\/code> 函数执行数据库操作<\/li>
该函数调用 get_fabric_user_by_token<\/code><\/li>
输入参数来源于 HTTP 头中的 Authorization<\/code> 字段<\/li>
<\/ol>
触发点<\/h3>
通过分析 httpd.conf<\/code> 配置文件，发现 \/api\/fabric\/authenticate<\/code> URL 可触发 fabric_access_check<\/code> 函数。<\/p>
漏洞利用<\/h2>
调试方法<\/h3>


使用 GDB 附加到 httpsd 进程进行调试：<\/p>
gdb -p <httpsd_pid>
<\/span><\/span><\/code><\/pre><\/li>

由于 httpsd 是多进程架构，可能需要多次尝试才能附加到正确的进程<\/p>
<\/li>
<\/ol>
SQL注入分析<\/h3>

攻击向量：Authorization: Bearer<\/code> 头<\/li>
注入点存在输入格式化问题：

单引号可成功注入<\/li>
但后续内容可能被截断<\/li>
<\/ul>
<\/li>
__isoc23_sscanf<\/code> 函数会在第一个空格处停止读取，因此注入语句中不能包含空格

解决方案：使用 \/**\/<\/code> 代替空格<\/li>
<\/ul>
<\/li>
<\/ol>
利用限制绕过<\/h3>
由于空格被限制，构造有效载荷时需注意：<\/p>

使用 \/**\/<\/code> 替代所有空格<\/li>
示例PoC结构：
Authorization: Bearer 'OR\/**\/1=1\/**\/--
<\/code><\/pre>
<\/li>
<\/ul>
完整利用流程<\/h2>

通过 \/api\/fabric\/authenticate<\/code> 端点发送恶意请求<\/li>
在 Authorization: Bearer<\/code> 头中注入SQL语句<\/li>
利用SQL注入实现RCE：

方法一：上传C2马实现持久化控制<\/li>
方法二：上传gdbserver辅助调试<\/li>
<\/ul>
<\/li>
通过命令执行获取服务器权限<\/li>
<\/ol>
漏洞修复<\/h2>
Fortinet 在新版本中已采用预编译语句修复此漏洞。建议用户升级到以下版本：<\/p>

FortiWeb 7.6.4 或更高版本<\/li>
FortiWeb 7.4.8 或更高版本<\/li>
FortiWeb 7.2.11 或更高版本<\/li>
FortiWeb 7.0.11 或更高版本<\/li>
<\/ul>
参考链接<\/h2>
原始漏洞分析文章<\/a> (请替换为实际链接)<\/p>

FortiWeb 未授权RCE漏洞分析 (CVE-2025-25257)<\/h1>

漏洞分析<\/h2>

漏洞位置<\/h3>
漏洞存在于 `\/bin\/httpsd<\/code> 进程的 get_fabric_user_by_token<\/code> 函数中，该函数存在明显的字符串拼接问题。<\/p>`

触发点<\/h3>
通过分析 `httpd.conf<\/code> 配置文件，发现 \/api\/fabric\/authenticate<\/code> URL 可触发 fabric_access_check<\/code> 函数。<\/p>`

参考链接<\/h2>
原始漏洞分析文章<\/a> (请替换为实际链接)<\/p>

FortiWeb 未授权RCE漏洞分析 (CVE-2025-25257)<\/h1>

漏洞分析<\/h2>

漏洞位置<\/h3> 漏洞存在于 \/bin\/httpsd<\/code> 进程的 get_fabric_user_by_token<\/code> 函数中，该函数存在明显的字符串拼接问题。<\/p>

触发点<\/h3> 通过分析 httpd.conf<\/code> 配置文件，发现 \/api\/fabric\/authenticate<\/code> URL 可触发 fabric_access_check<\/code> 函数。<\/p>

参考链接<\/h2> 原始漏洞分析文章<\/a> (请替换为实际链接)<\/p>

漏洞位置<\/h3>
漏洞存在于 `\/bin\/httpsd<\/code> 进程的 get_fabric_user_by_token<\/code> 函数中，该函数存在明显的字符串拼接问题。<\/p>`

触发点<\/h3>
通过分析 `httpd.conf<\/code> 配置文件，发现 \/api\/fabric\/authenticate<\/code> URL 可触发 fabric_access_check<\/code> 函数。<\/p>`

参考链接<\/h2>
原始漏洞分析文章<\/a> (请替换为实际链接)<\/p>