포티넷 '포티웹'서 9.6점 치명적 취약점 발견
💡
Editor Pick
- 공격자가 인증 없이 악의적인 SQL 코드를 주입
- 시스템 내 파일 생성, 데이터 유출 등 다양한 공격 가능
- CVSS 기준 9.6점 최대 등급 매우 위험한 수준
- 공격자가 인증 없이 악의적인 SQL 코드를 주입
- 시스템 내 파일 생성, 데이터 유출 등 다양한 공격 가능
- CVSS 기준 9.6점 최대 등급 매우 위험한 수준
포티넷(Fortinet)이 웹 애플리케이션 방화벽 솔루션 '포티웹(FortiWeb)'에서 발견된 SQL 인젝션 취약점(CVE-2025-25257)에 대한 긴급 보안 패치를 발표했다.
이번 취약점은 GMO 사이버보안 연구원 카와네 켄타로(Kentaro Kawane)가 발견, CVSS 기준 9.6점으로 평가됐다. 최대 등급에 해당하는 매우 위험한 수준이다.
이 취약점은 공격자가 인증 없이 악의적인 SQL 코드를 주입할 수 있다. 이를 통해 시스템 내 파일 생성, 데이터 유출 등 다양한 공격이 가능하다.
영향받는 포티웹 버전은 다음과 같다.
- FortiWeb 7.6.0 ~ 7.6.3 → 7.6.4 이상으로 업데이트
- FortiWeb 7.4.0 ~ 7.4.7 → 7.4.8 이상으로 업데이트
- FortiWeb 7.2.0 ~ 7.2.10 → 7.2.11 이상으로 업데이트
- FortiWeb 7.0.0 ~ 7.0.10 → 7.0.11 이상으로 업데이트
포티넷은 취약점이 발견된 버전을 사용자에게 패치 적용을 권고하고, 임시 조치로 HTTP/HTTPS 기반 관리자 인터페이스 비활성화를 안내했다.
Related Materials
- 2024년 제로데이 위협 돌아보기: 주요 동향 분석 및 향후 전망 - Google Cloud, 2024년
- CVE 동향을 반영한 3-Step 보안 취약점 위험도 스코어링 - 중앙대학교 석사학위논문, 2023년
- CVE란 무엇인가? 일반적인 취약점 및 노출 설명 - Wallarm, 2024년
미국 CISA, 주초부터 취약점 4개를 긴급 패치 목록에 추가
💡Editor’s Pick
- 긴급 패치 필요한 취약점 4개 공개
- 2014년에 발견된, 오래된 취약점 포함
- 실제 사례는 미공개 미국 연방 사이버 보안 전담 기관인 CISA가 월요일부터 네 개의 취약점을 KEV에 추가했다. KEV는 실제 해킹 공격에 노출되어 있는 취약점들을 따로 모아둔 목록으로, 패치 우선순위를 설정할 때 가장 먼저 참고해야 할
JustAnotherEditor
금융보안 SW, 치명적 취약점 수두룩
KAIST, 금융 필수 보안 소프트웨어 해킹 악용 가능성 있어
심각한 보안 취약점 19건 발견...금융보안 소프트웨어 설치 의무화 오히려 취약
안전한 금융 환경 위해 웹 표준과 브라우저 보안 모델 따르는 전환 필요 국내 금융 보안 소프트웨어 설치 의무가 오히려 보안 위협에 취약할 수도 있다는 연구 결과가 나왔다. 카이스트 연구팀이 북한
CheifEditor
한국연구재단, 12만여건 개인정보 유출...동일 취약점 사이트 ‘비상’
💡Editor Pick
- 온라인 논문 시스템(JAMS) 해킹으로 개인정보 유출
- 6.6 내부 점검 결과 개인정보 유출 없다발표
- TF를 구성해 연구자 응대와 재단 전체 시스템에 대한 정밀점검 한국연구재단에서 운영하는 온라인 논문 시스템 잼스(JAMS)가 해킹돼 12만여건의 개인정보가 유출됐다. 유출된 개인정보는 성명, 생년월일, 연락처, 이메일 주소, 계정 ID
CheifEditor
