FortiWeb Fabric Connector 严重 SQLi 漏洞可导致远程代码执行（CVE 待定）

FortiWeb Fabric Connector 严重 SQL 注入漏洞可导致 RCE

安全研究人员近日披露了 Fortinet FortiWeb Fabric Connector 7.6.x 版本中存在的一个严重未授权 SQL 注入（SQLi）漏洞。该漏洞可能允许远程攻击者在易受攻击的系统上执行任意代码。相关漏洞利用代码已在 Exploit Database（EDB-ID 52473）上公布，展示了如何通过该漏洞实现远程代码执行（RCE）。

技术细节

该漏洞影响 FortiWeb Fabric Connector 7.6.0 至 7.6.4 版本。截至披露时，尚未分配 CVE 标识符，但漏洞利用细节揭示了以下关键信息：

• 攻击向量：通过精心构造的 HTTP 请求实现未授权 SQL 注入
• 影响：可能实现 SYSTEM 权限级别的远程代码执行
• 利用路径：SQLi → 命令注入 → RCE
• 受影响组件：FortiWeb Fabric Connector Web 界面

概念验证（PoC）漏洞利用代码展示了攻击者如何绕过身份验证，注入恶意 SQL 查询，进而控制底层 Windows 系统。安全专业人员需注意，成功利用该漏洞需能够访问 FortiWeb 管理界面。

影响分析

该漏洞对使用受影响 FortiWeb 版本的组织构成重大风险：

• 未授权访问：攻击者无需有效凭据即可利用该漏洞
• 权限提升：在 Windows 部署环境中可能获取 SYSTEM 级别权限
• 横向移动：被攻陷的 FortiWeb 设备可能成为进入内部网络的入口点
• 数据泄露风险：SQL 注入漏洞可能暴露敏感配置数据

Fortinet 尚未发布官方补丁或安全公告。组织应密切关注 Fortinet 的 PSIRT 公告 以获取最新信息。

缓解建议

在等待官方补丁期间，安全团队应采取以下措施：

1. 网络分段：将 FortiWeb 管理界面的访问限制在可信网络内
2. Web 应用防火墙：部署 WAF 规则以检测并阻止 SQL 注入尝试
3. 监控：加强 FortiWeb Fabric Connector 访问和 SQL 查询模式的日志记录
4. 临时解决方案：如非必要，考虑禁用 Fabric Connector 功能
5. 漏洞扫描：使用 Nessus 或 Qualys 等工具扫描暴露的 FortiWeb 界面

安全专业人员建议在部署前于非生产环境中测试任何缓解措施。由于漏洞利用代码已公开，组织应尽快采取保护措施，以防威胁行为者开始扫描易受攻击的系统。