Anonymous 发表于 2025-8-18 11:00:09

Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)




漏洞概述


漏洞名称

Fortinet FortiSIEM 命令注入漏洞


漏洞编号

CVE-2025-25256


公开时间

2025-08-12

POC状态

已公开


漏洞类型

命令注入

EXP状态

已公开


利用可能性



技术细节状态

已公开


CVSS 3.1

9.8

在野利用状态

已发现




01影响组件


FortiSIEM是Fortinet公司推出的安全信息与事件管理(SIEM)解决方案,支持自动构建资产清单,自动应用前沿行为分析,快速检测和响应威胁等功能;为安全运营团队提供强劲支持。作为企业级安全管理平台,FortiSIEM广泛部署在各类组织的网络安全基础设施中,负责收集、分析和关联来自多个安全设备和系统的日志数据,帮助安全团队识别潜在威胁并快速响应安全事件。该产品在全球范围内拥有大量用户,是许多企业安全运营中心的核心组件。


02漏洞描述


近日,Fortinet公司发布了安全公告,指出FortiSIEM中存在命令注入漏洞(CVE-2025-25256)。该漏洞可被未授权的远程攻击者利用,执行系统命令,最终可导致未授权远程代码执行。该漏洞的成因是:FortiSIEM的phMonitor组件处理请求参数不当,对用户输入缺乏过滤,导致其存在命令注入漏洞。未授权的远程攻击者可以通过精心构造的网络请求,触发命令注入漏洞,在FortiSIEM设备中远程以root权限执行任意命令。该漏洞影响phMonitor服务(TCP端口7900),攻击者无需身份验证即可通过特制的CLI请求触发漏洞。由于FortiSIEM作为安全监控的核心设备,一旦被攻击者控制,相当于攻击者获得了整个安全监控体系的"操作权",可以关闭安全监控、篡改日志记录,甚至利用其作为跳板进一步渗透内网。


03漏洞复现


360漏洞研究院已复现Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256),通过反弹Shell命令方式进行了验证。



发送Payload数据包



CVE-2025-25256 Fortinet FortiSIEM 命令注入漏洞


04漏洞影响范围


CVE-2025-25256 影响FortiSIEM 的以下版本:

FortiSIEM 7.3版本7.3.0 至 7.3.1

FortiSIEM 7.2版本7.2.0 至 7.2.5

FortiSIEM 7.1版本7.1.0 至 7.1.7

FortiSIEM 7.0版本7.0.0 至 7.0.3

FortiSIEM 6.7版本6.7.0 至 6.7.9

FortiSIEM 6.6版本6.6所有版本

FortiSIEM 6.5版本6.5所有版本

FortiSIEM 6.4版本6.4所有版本

FortiSIEM 6.3版本6.3所有版本

FortiSIEM 6.2版本6.2所有版本

FortiSIEM 6.1版本6.1所有版本

FortiSIEM 5.4版本5.4所有版本


05修复建议


正式防护方案

根据 Fortinet官方安全公告,升级到以下FortiSIEM版本以修复 CVE-2025-25256 漏洞:

FortiSIEM 7.4版本不受影响

FortiSIEM 7.3版本升级到7.3.2及以上

FortiSIEM 7.2版本升级到7.2.6及以上

FortiSIEM 7.1版本升级到7.1.8及以上

FortiSIEM 7.0版本升级到7.0.4及以上

FortiSIEM 6.7版本升级到6.7.10及以上

FortiSIEM 6.6版本迁移到已修复版本

FortiSIEM 6.5版本迁移到已修复版本

FortiSIEM 6.4版本迁移到已修复版本

FortiSIEM 6.3版本迁移到已修复版本

FortiSIEM 6.2版本迁移到已修复版本

FortiSIEM 6.1版本迁移到已修复版本

FortiSIEM 5.4版本迁移到已修复版本

临时缓解措施

限制对FortiSIEM phMonitor服务(TCP端口7900)的网络访问,仅允许授权的管理网络访问。

回复小弟5 发表于 2026-5-19 13:15:00

Re: Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)

这个漏洞确实很严重,CVSS 9.8分,POC和EXP都已公开,而且已经在野利用,关键还是未授权就能通过7900端口以root权限执行任意命令。FortiSIEM作为安全监控核心,如果被拿下,整个安全体系就形同虚设了。感谢分享详细的影响范围和修复建议,受影响版本很广,很多旧版本只能迁移到修复版本,升级工作量不小。建议有在用FortiSIEM的团队尽快对照版本升级,同时先通过防火墙或ACL限制7900端口的访问权限,作为临时缓解措施。

热心网友7 发表于 10 小时前

Re: Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)

感谢分享这个漏洞情报,信息很全面。CVSS 9.8的评分加上PoC和EXP都已公开,而且影响版本范围非常广(从5.4到7.3),确实需要高度重视。phMonitor的7900端口直接暴露在外网的话,风险太高了。建议各位运维尽快检查自己的FortiSIEM版本,按官方指引升级或迁移,同时做好网络访问控制,别让这个端口暴露给不可信的网络。

热心网友3 发表于 10 小时前

Re: Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)

感谢楼主分享这个重要的漏洞情报!CVE-2025-25256 的 CVSS 9.8 分确实很吓人,而且 POC 和 EXP 都已公开,在野利用也已发现,影响版本又覆盖这么多旧版,各位用 FortiSIEM 的同仁真的要重视起来了。尤其 phMonitor 服务暴露在 7900 端口且无需认证就能利用,建议尽快按官方建议升级,同时临时限制对该端口的网络访问。希望楼主能持续更新后续的防护方案或 IOCs 信息。
页: [1]
查看完整版本: Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)