Numéro de série : AV25-406
Date : 8 juillet 2025
Mise à jour : 18 juillet 2025
Le 8 juillet 2025, Fortinet a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces bulletins comprennent des mises à jour pour les produits suivants :
- FortiAnalyzer – multiples versions;
- FortiAnalyzer Cloud – multiples versions;
- FortiIsolator – multiples versions;
- FortiManager – multiples versions;
- FortiManager Cloud – de la version 7.6.0 à 7.6.1;
- FortiOS 7.6 – de la version 7.6.0 à 7.6.1;
- FortiOS 7.4 – de la version 7.4.0 à 7.4.7;
- FortiOS 7.2 – de la version7.2.0 à 7.2.11;
- FortiOS 7.0 – de la version 7.0.1 à 7.0.16;
- FortiProxy 7.6 – de la version 7.6.0 à 7.6.1;
- FortiProxy 7.4 – de la version 7.4.0 à 7.4.8;
- FortiProxy 7.2 – de la version 7.2.0 à 7.2.13;
- FortiProxy 7.0 – de la version 7.0.0 à 7.0.20;
- FortiSandbox – multiples versions;
- FortiVoice 6.4 – de la version 6.4.0 à 6.4.10;
- FortiVoice 7.0 – de la version 7.0.0 à 7.0.6;
- FortiVoice 7.2 – de la version 7.2.0;
- FortiWeb – multiples versions.
Mise à jour 2
Le 18 juillet 2025, CISA a ajouté CVE-2025-25257 à son catalogue de vulnérabilités exploitées connues (KEV).
Le 18 juillet 2025, Fortinet a mis à jour son bulletin indiquant que la vulnérabilité était exploitée.
- Known Exploited Vulnerabilities Catalog (en anglais seulement)
- Fortinet PSIRT Advisories (en anglais seulement)
Mise à jour 1
CVE-2025-25257 : Injection SQL non authentifiée dans l'interface graphique affectant :
- FortiWeb 7.6 – de la versions 7.6.0 à 7.6.3;
- FortiWeb 7.4 – de la versions 7.4.0 à 7.4.7;
- FortiWeb 7.2 – de la versions 7.2.0 à 7.2.10;
- FortiWeb 7.0 – de la versions 7.0.0 à 7.0.10.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter la page Web ci‑dessous et d'appliquer les mises à jour nécessaires.