Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)
漏洞概述
漏洞名称
Fortinet FortiSIEM 命令注入漏洞
漏洞编号
CVE-2025-25256
公开时间
2025-08-12
POC状态
已公开
漏洞类型
命令注入
EXP状态
已公开
利用可能性
高
技术细节状态
已公开
CVSS 3.1
9.8
在野利用状态
已发现
01影响组件
FortiSIEM是Fortinet公司推出的安全信息与事件管理(SIEM)解决方案,支持自动构建资产清单,自动应用前沿行为分析,快速检测和响应威胁等功能;为安全运营团队提供强劲支持。作为企业级安全管理平台,FortiSIEM广泛部署在各类组织的网络安全基础设施中,负责收集、分析和关联来自多个安全设备和系统的日志数据,帮助安全团队识别潜在威胁并快速响应安全事件。该产品在全球范围内拥有大量用户,是许多企业安全运营中心的核心组件。
02漏洞描述
近日,Fortinet公司发布了安全公告,指出FortiSIEM中存在命令注入漏洞(CVE-2025-25256)。该漏洞可被未授权的远程攻击者利用,执行系统命令,最终可导致未授权远程代码执行。该漏洞的成因是:FortiSIEM的phMonitor组件处理请求参数不当,对用户输入缺乏过滤,导致其存在命令注入漏洞。未授权的远程攻击者可以通过精心构造的网络请求,触发命令注入漏洞,在FortiSIEM设备中远程以root权限执行任意命令。该漏洞影响phMonitor服务(TCP端口7900),攻击者无需身份验证即可通过特制的CLI请求触发漏洞。由于FortiSIEM作为安全监控的核心设备,一旦被攻击者控制,相当于攻击者获得了整个安全监控体系的"操作权",可以关闭安全监控、篡改日志记录,甚至利用其作为跳板进一步渗透内网。
03漏洞复现
360漏洞研究院已复现Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256),通过反弹Shell命令方式进行了验证。
发送Payload数据包
CVE-2025-25256 Fortinet FortiSIEM 命令注入漏洞
04漏洞影响范围
CVE-2025-25256 影响FortiSIEM 的以下版本:
FortiSIEM 7.3版本7.3.0 至 7.3.1
FortiSIEM 7.2版本7.2.0 至 7.2.5
FortiSIEM 7.1版本7.1.0 至 7.1.7
FortiSIEM 7.0版本7.0.0 至 7.0.3
FortiSIEM 6.7版本6.7.0 至 6.7.9
FortiSIEM 6.6版本6.6所有版本
FortiSIEM 6.5版本6.5所有版本
FortiSIEM 6.4版本6.4所有版本
FortiSIEM 6.3版本6.3所有版本
FortiSIEM 6.2版本6.2所有版本
FortiSIEM 6.1版本6.1所有版本
FortiSIEM 5.4版本5.4所有版本
05修复建议
正式防护方案
根据 Fortinet官方安全公告,升级到以下FortiSIEM版本以修复 CVE-2025-25256 漏洞:
FortiSIEM 7.4版本不受影响
FortiSIEM 7.3版本升级到7.3.2及以上
FortiSIEM 7.2版本升级到7.2.6及以上
FortiSIEM 7.1版本升级到7.1.8及以上
FortiSIEM 7.0版本升级到7.0.4及以上
FortiSIEM 6.7版本升级到6.7.10及以上
FortiSIEM 6.6版本迁移到已修复版本
FortiSIEM 6.5版本迁移到已修复版本
FortiSIEM 6.4版本迁移到已修复版本
FortiSIEM 6.3版本迁移到已修复版本
FortiSIEM 6.2版本迁移到已修复版本
FortiSIEM 6.1版本迁移到已修复版本
FortiSIEM 5.4版本迁移到已修复版本
临时缓解措施
限制对FortiSIEM phMonitor服务(TCP端口7900)的网络访问,仅允许授权的管理网络访问。
页:
[1]