Plataforma
sophos
Componente
sophos-firewall
Corregido en
21.0 MR2 (21.0.2)
Se ha descubierto una vulnerabilidad de inyección SQL en el proxy SMTP transparente (legacy) de Sophos Firewall, afectando a versiones anteriores a 21.0 MR2 (21.0.2). Esta falla permite a un atacante ejecutar código de forma remota si se cumplen ciertas condiciones, como la activación de una política de cuarentena de correo electrónico y una actualización desde una versión anterior a 21.0 GA. La vulnerabilidad ha sido publicada el 21 de julio de 2025 y se recomienda aplicar la actualización a la versión 21.0 MR2 (21.0.2) para solucionar el problema.
La inyección SQL en Sophos Firewall permite a un atacante inyectar código SQL malicioso en las consultas a la base de datos del firewall. Si una política de cuarentena de correo electrónico está activa, y el firewall se ha actualizado desde una versión anterior a 21.0 GA, un atacante podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema subyacente. Esto podría resultar en la obtención de información confidencial, la modificación de la configuración del firewall, o incluso el control total del dispositivo. La severidad crítica de esta vulnerabilidad se debe a la posibilidad de ejecución remota de código, lo que representa un riesgo significativo para la seguridad de la red.
La vulnerabilidad CVE-2025-7624 se publicó el 21 de julio de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Es importante implementar las mitigaciones recomendadas lo antes posible para protegerse contra posibles ataques. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations relying on Sophos Firewall for email security, particularly those with active email quarantining policies and legacy firewall deployments (versions older than 21.0 GA), are at significant risk. Shared hosting environments where multiple customers share a single Sophos Firewall instance are also vulnerable, as a compromise of one customer's email could potentially impact others.
• sophos: Examine Sophos Firewall logs for unusual SQL query patterns, specifically targeting the SMTP proxy. Look for queries containing SQL keywords like UNION, SELECT, INSERT, UPDATE, or DELETE.
Get-SophosFirewallLog -LogType 'SQLInjection' -StartTime (Get-Date).AddDays(-7)• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/messages) for suspicious processes or network connections originating from the Sophos Firewall. Use lsof or ss to identify processes listening on unusual ports or connecting to unexpected destinations.
lsof -i :25 | grep sophos• generic web: If the SMTP proxy is exposed externally, use curl or wget to probe for potential injection points. Examine response headers for unexpected SQL error messages.
curl -H "X-Custom-Header: '; DROP TABLE users; --" http://sophosfirewall/smtp_proxydisclosure
Estado del Exploit
EPSS
0.33% (56% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Sophos Firewall a la versión 21.0 MR2 (21.0.2) o superior. Si la actualización es problemática, considere una reversión a una versión anterior conocida como estable, pero tenga en cuenta que esto podría introducir otras vulnerabilidades. Como medida temporal, desactive la política de cuarentena de correo electrónico si no es esencial. Monitoree los registros del firewall en busca de patrones sospechosos de inyección SQL, como consultas SQL inusuales o errores relacionados con la base de datos. Implemente reglas en un firewall de aplicaciones web (WAF) o proxy para filtrar tráfico malicioso que intente explotar la vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las consultas SQL se ejecutan correctamente y que no se pueden inyectar comandos maliciosos.
Actualice Sophos Firewall a la versión 21.0 MR2 (21.0.2) o posterior. Esto solucionará la vulnerabilidad de inyección SQL en el proxy SMTP heredado. Asegúrese de que la política de cuarentena de correo electrónico esté activa.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7624 is a critical SQL injection vulnerability affecting Sophos Firewall versions prior to 21.0 MR2 (21.0.2). Exploitation can lead to remote code execution if quarantining policies are active and the firewall was upgraded from an older version.
If you are running Sophos Firewall versions 0–21.0 MR2 (21.0.2) and have active email quarantining policies, you are potentially affected by this vulnerability. Upgrade immediately.
Upgrade your Sophos Firewall to version 21.0 MR2 (21.0.2) or later. If an upgrade is not immediately possible, temporarily disable the legacy SMTP proxy feature.
While no active campaigns have been confirmed, the vulnerability's severity and potential impact suggest a high likelihood of exploitation. Monitor your firewall closely.
Refer to the official Sophos Security Advisory for CVE-2025-7624 on the Sophos website (link to advisory would be here if available).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.