Fortinet FortiSIEM 命令注入漏洞（CVE-2025-25256）

漏洞概述
漏洞名称	Fortinet FortiSIEM 命令注入漏洞
漏洞编号	CVE-2025-25256
公开时间	2025-08-12	POC状态	已公开
漏洞类型	命令注入	EXP状态	已公开
利用可能性	高	技术细节状态	已公开
CVSS 3.1	9.8	在野利用状态	已发现

01影响组件


FortiSIEM是Fortinet公司推出的安全信息与事件管理（SIEM）解决方案，支持自动构建资产清单，自动应用前沿行为分析，快速检测和响应威胁等功能；为安全运营团队提供强劲支持。作为企业级安全管理平台，FortiSIEM广泛部署在各类组织的网络安全基础设施中，负责收集、分析和关联来自多个安全设备和系统的日志数据，帮助安全团队识别潜在威胁并快速响应安全事件。该产品在全球范围内拥有大量用户，是许多企业安全运营中心的核心组件。


02漏洞描述


近日，Fortinet公司发布了安全公告，指出FortiSIEM中存在命令注入漏洞（CVE-2025-25256）。该漏洞可被未授权的远程攻击者利用，执行系统命令，最终可导致未授权远程代码执行。该漏洞的成因是：FortiSIEM的phMonitor组件处理请求参数不当，对用户输入缺乏过滤，导致其存在命令注入漏洞。未授权的远程攻击者可以通过精心构造的网络请求，触发命令注入漏洞，在FortiSIEM设备中远程以root权限执行任意命令。该漏洞影响phMonitor服务（TCP端口7900），攻击者无需身份验证即可通过特制的CLI请求触发漏洞。由于FortiSIEM作为安全监控的核心设备，一旦被攻击者控制，相当于攻击者获得了整个安全监控体系的"操作权"，可以关闭安全监控、篡改日志记录，甚至利用其作为跳板进一步渗透内网。


03漏洞复现


360漏洞研究院已复现Fortinet FortiSIEM 命令注入漏洞（CVE-2025-25256），通过反弹Shell命令方式进行了验证。



发送Payload数据包



CVE-2025-25256 Fortinet FortiSIEM 命令注入漏洞


04漏洞影响范围


CVE-2025-25256 影响FortiSIEM 的以下版本：

FortiSIEM 7.3版本  7.3.0 至 7.3.1

FortiSIEM 7.2版本  7.2.0 至 7.2.5

FortiSIEM 7.1版本  7.1.0 至 7.1.7

FortiSIEM 7.0版本  7.0.0 至 7.0.3

FortiSIEM 6.7版本  6.7.0 至 6.7.9

FortiSIEM 6.6版本  6.6所有版本

FortiSIEM 6.5版本  6.5所有版本

FortiSIEM 6.4版本  6.4所有版本

FortiSIEM 6.3版本  6.3所有版本

FortiSIEM 6.2版本  6.2所有版本

FortiSIEM 6.1版本  6.1所有版本

FortiSIEM 5.4版本  5.4所有版本


05修复建议


正式防护方案

根据 Fortinet官方安全公告，升级到以下FortiSIEM版本以修复 CVE-2025-25256 漏洞：

FortiSIEM 7.4版本  不受影响

FortiSIEM 7.3版本  升级到7.3.2及以上

FortiSIEM 7.2版本  升级到7.2.6及以上

FortiSIEM 7.1版本  升级到7.1.8及以上

FortiSIEM 7.0版本  升级到7.0.4及以上

FortiSIEM 6.7版本  升级到6.7.10及以上

FortiSIEM 6.6版本  迁移到已修复版本

FortiSIEM 6.5版本  迁移到已修复版本

FortiSIEM 6.4版本  迁移到已修复版本

FortiSIEM 6.3版本  迁移到已修复版本

FortiSIEM 6.2版本  迁移到已修复版本

FortiSIEM 6.1版本  迁移到已修复版本

FortiSIEM 5.4版本  迁移到已修复版本

临时缓解措施

限制对FortiSIEM phMonitor服务（TCP端口7900）的网络访问，仅允许授权的管理网络访问。