Fortinet FortiWeb /api/fabric/device/status SQL 注入漏洞（CVE-2025-25257）

FOFA自检语句：body="FortiWeb" && body="app.min.js"

受影响资产数：1.8k+

漏洞描述：

Fortinet FortiWeb 是一款网络应用防火墙产品，用于保护 Web 应用程序免受各种攻击。该漏洞存在于 FortiWeb 的 /api/fabric/device/status 接口中，攻击者可以通过构造恶意的 SQL 查询注入 Authorization 头部，从而绕过身份验证并执行任意 SQL 查询，可能导致敏感数据泄露或系统被完全控制。

受影响版本：7.6.0 至 7.6.3、7.4.0 至 7.4.7、7.2.0 至 7.2.10、7.0.0 至 7.0.10

解决建议：禁用 HTTP/HTTPS 管理界面、升级至官方发布的补丁版本

本次共更新1个热点漏洞，Goby 实战化利用展示效果如下：