No. | Title | CVE ID | Severity | Model | Classification |
1 | FortiWeb GUI의 인증되지 않은 SQL 인젝션 | CVE-2025-25257 | Critical | FortiWeb | SQL Injection |
2 | FortiVoice 명령 인젝션 취약점 | CVE-2025-47856 | Critical | FortiVoice | Command Injection |
3 | FortiManager/FortiAnalyzer 전달 모듈의 SQL 인젝션 | CVE-2025-24474 | Critical | FortiManager/FortiAnalyzer | SQL Injection |
4 | FortiIsolator 로깅 구성 요소의 액세스 제어 우회 | CVE-2024-32124 | High | FortiIsolator | Access Control Bypass |
5 | FortiOS cw_stad 데몬의 힙 기반 버퍼 오버플로우 | CVE-2025-24477 | High | FortiOS | Buffer Overflow |
6 | FortiOS/FortiProxy DNS 타입 65 리소스 레코드 요청으로 DNS 필터 우회 | CVE-2024-55599 | Medium | FortiOS/FortiProxy | Filter Bypass |
7 | FortiOS/FortiProxy API를 통한 PKI: 유효하지 않은 인증서로 인증 허용 | CVE-2024-52965 | Medium | FortiOS/FortiProxy | Authentication Bypass |
8 | FortiSandbox/FortiIsolator 삭제된 관리자의 세션이 여전히 활성화 | CVE-2024-27779 | Medium | FortiSandbox/FortiIsolator | Session Management |
1. FortiWeb GUI의 인증되지 않은 SQL 인젝션
(CVE: CVE-2025-25257 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/FG-IR-25-151)
설명: FortiWeb GUI에서 인증되지 않은 SQL 인젝션 취약점이 발견되었습니다. 공격자가 특별히 조작된 요청을 통해 데이터베이스에 무단 액세스할 수 있습니다.
Version | Affected | Solution |
FortiWeb 7.6 | 7.6.0 through 7.6.3 | Upgrade to 7.6.4 or above |
FortiWeb 7.4 | 7.4.0 through 7.4.7 | Upgrade to 7.4.8 or above |
FortiWeb 7.2 | 7.2.0 through 7.2.10 | Upgrade to 7.2.11 or above |
FortiWeb 7.0 | 7.0.0 through 7.0.10 | Upgrade to 7.0.11 or above |
2. FortiVoice 명령 인젝션 취약점
(CVE: CVE-2025-24479 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2025-24479)
설명: FortiVoice에서 명령 인젝션 취약점이 발견되었습니다. 인증된 사용자가 특별히 조작된 입력을 통해 시스템에서 임의의 명령을 실행할 수 있어, 시스템 제어권 탈취가 가능합니다.
Version | Affected | Solution |
FortiVoice 7.2 | 7.2.0 | Upgrade to 7.2.1 or above |
FortiVoice 7.0 | 7.0.0 through 7.0.6 | Upgrade to 7.0.7 or above |
FortiVoice 6.4 | 6.4.0 through 6.4.10 | Upgrade to 6.4.11 or above |
3. FortiManager/FortiAnalyzer 전달 모듈의 SQL 인젝션
(CVE: CVE-2025-24474 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2025-24474)
설명: FortiManager와 FortiAnalyzer의 전달 모듈에서 SQL 인젝션 취약점이 발견되었습니다. 공격자가 특별히 조작된 요청을 통해 데이터베이스 정보에 무단 접근할 수 있습니다.
Version | Affected | Solution |
FortiAnalyzer 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.2 or above |
FortiAnalyzer 7.4 | 7.4.0 through 7.4.6 | Upgrade to 7.4.7 or above |
FortiAnalyzer 7.2 | 7.2 all versions | Migrate to a fixed release |
FortiAnalyzer 7.0 | 7.0 all versions | Migrate to a fixed release |
FortiAnalyzer 6.4 | 6.4 all versions | Migrate to a fixed release |
FortiAnalyzer Cloud 7.6 | Not affected | Not Applicable |
FortiAnalyzer Cloud 7.4 | 7.4.1 through 7.4.6 | Upgrade to 7.4.7 or above |
FortiAnalyzer Cloud 7.2 | 7.2 all versions | Migrate to a fixed release |
FortiAnalyzer Cloud 7.0 | 7.0 all versions | Migrate to a fixed release |
FortiAnalyzer Cloud 6.4 | 6.4 all versions | Migrate to a fixed release |
FortiManager 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.2 or above |
FortiManager 7.4 | 7.4.0 through 7.4.6 | Upgrade to 7.4.7 or above |
FortiManager 7.2 | 7.2 all versions | Migrate to a fixed release |
FortiManager 7.0 | 7.0 all versions | Migrate to a fixed release |
FortiManager 6.4 | 6.4 all versions | Migrate to a fixed release |
FortiManager Cloud 7.6 | Not affected | Not Applicable |
FortiManager Cloud 7.4 | 7.4.1 through 7.4.6 | Upgrade to 7.4.7 or above |
FortiManager Cloud 7.2 | 7.2 all versions | Migrate to a fixed release |
FortiManager Cloud 7.0 | 7.0 all versions | Migrate to a fixed release |
FortiManager Cloud 6.4 | 6.4 all versions | Migrate to a fixed release |
4. FortiIsolator 로깅 구성 요소의 액세스 제어 우회
(CVE: CVE-2025-24475 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2025-24475)
설명: FortiIsolator의 로깅 구성 요소에서 액세스 제어 우회 취약점이 발견되었습니다. 특정 조건에서 권한이 없는 사용자가 로그 정보에 접근할 수 있습니다.
Version | Affected | Solution |
FortiIsolator 3.0 | Not affected | Not Applicable |
FortiIsolator 2.4 | 2.4.3 through 2.4.4 | Upgrade to 2.4.5 or above |
FortiIsolator 2.3 | 2.3 all versions | Migrate to a fixed release |
FortiIsolator 2.2 | Not affected | Not Applicable |
5. FortiOS cw_stad 데몬의 힙 기반 버퍼 오버플로우
(CVE: CVE-2025-24477 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2025-24477)
설명: FortiOS의 cw_stad 데몬에서 힙 기반 버퍼 오버플로우 취약점이 발견되었습니다. 공격자가 특별히 조작된 패킷을 통해 임의의 코드를 실행할 수 있어, 시스템 완전 제어가 가능합니다.
Version | Affected | Solution |
FortiOS 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.3 or above |
FortiOS 7.4 | 7.4.0 through 7.4.7 | Upgrade to 7.4.8 or above |
FortiOS 7.2 | 7.2.4 through 7.2.11 | Upgrade to 7.2.12 or above |
FortiOS 7.0 | Not affected | Not Applicable |
FortiOS 6.4 | Not affected | Not Applicable |
6. FortiOS/FortiProxy DNS 타입 65 리소스 레코드 요청으로 DNS 필터 우회
(CVE: CVE-2024-55599 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2024-55599)
설명: FortiOS와 FortiProxy에서 DNS 타입 65 리소스 레코드 요청을 통해 DNS 필터를 우회할 수 있는 취약점이 발견되었습니다. 공격자가 차단된 도메인에 접근할 수 있습니다.
Version | Affected | Solution |
FortiOS 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
FortiOS 7.4 | 7.4.0 through 7.4.7 | Upgrade to 7.4.8 or above |
FortiOS 7.2 | 7.2.0 through 7.2.10 | Upgrade to 7.2.11 or above |
FortiOS 7.0 | 7.0 all versions | Migrate to a fixed release |
FortiOS 6.4 | 6.4 all versions | Migrate to a fixed release |
FortiProxy 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.2 or above |
FortiProxy 7.4 | 7.4.0 through 7.4.8 | Upgrade to 7.4.9 or above |
FortiProxy 7.2 | 7.2 all versions | Migrate to a fixed release |
FortiProxy 7.0 | 7.0 all versions | Migrate to a fixed release |
FortiSASE 24.4 | 24.4.a | Fortinet remediated this issue in FortiSASE version 24.4.b and hence the customers need not perform any action. |
7. FortiOS/FortiProxy API를 통한 PKI: 유효하지 않은 인증서로 인증 허용
(CVE: CVE-2024-52965 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2024-52965)
설명: FortiOS와 FortiProxy의 PKI API에서 유효하지 않은 인증서로도 인증을 허용하는 취약점이 발견되었습니다. 공격자가 위조된 인증서를 사용하여 시스템에 접근할 수 있습니다.
Version | Affected | Solution |
FortiOS 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.3 or above |
FortiOS 7.4 | 7.4.0 through 7.4.5 | Upgrade to 7.4.6 or above |
FortiOS 7.2 | 7.2.0 through 7.2.10 | Upgrade to 7.2.11 or above |
FortiOS 7.0 | 7.0.1 through 7.0.16 | Upgrade to 7.0.17 or above |
FortiOS 6.4 | Not affected | Not Applicable |
FortiProxy 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.2 or above |
FortiProxy 7.4 | 7.4.0 through 7.4.8 | Upgrade to 7.4.9 or above |
FortiProxy 7.2 | 7.2.0 through 7.2.13 | Upgrade to 7.2.14 or above |
FortiProxy 7.0 | 7.0.0 through 7.0.20 | Upgrade to 7.0.21 or above |
8. FortiSandbox/FortiIsolator 삭제된 관리자의 세션이 여전히 활성화
(CVE: CVE-2024-27779 | FortiGuard PSIRT: https://www.fortiguard.com/psirt/CVE-2024-27779)
설명: FortiSandbox와 FortiIsolator에서 삭제된 관리자 계정의 세션이 여전히 활성 상태로 유지되는 취약점이 발견되었습니다. 삭제된 계정의 세션을 통해 시스템에 접근할 수 있습니다.
Version | Affected | Solution |
FortiIsolator 3.0 | Not affected | Not Applicable |
FortiIsolator 2.4 | 2.4.0 through 2.4.4 | Upgrade to 2.4.5 or above |
FortiIsolator 2.3 | 2.3 all versions | Migrate to a fixed release |
FortiIsolator 2.2 | 2.2 all versions | Migrate to a fixed release |
FortiIsolator 2.1 | 2.1 all versions | Migrate to a fixed release |
FortiIsolator 2.0 | 2.0 all versions | Migrate to a fixed release |
FortiIsolator 1.2 | 1.2 all versions | Migrate to a fixed release |
FortiSandbox 5.0 | Not affected | Not Applicable |
FortiSandbox 4.4 | 4.4.0 through 4.4.4 | Upgrade to 4.4.5 or above |
FortiSandbox 4.2 | 4.2.0 through 4.2.6 | Upgrade to 4.2.7 or above |
FortiSandbox 4.0 | 4.0 all versions | Migrate to a fixed release |
FortiSandbox 3.2 | 3.2 all versions | Migrate to a fixed release |