Fortinet FortiSIEM 命令注入漏洞(CVE-2025-25256)技术细节披露
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
网络安全机构watchTowr Labs发布了Fortinet FortiSIEM系统的命令注入漏洞CVE-2025-25256,CVSS评分为9.8,已被广泛利用。该漏洞源于输入过滤缺陷,攻击者可执行任意代码。受影响版本为FortiSIEM 5.4至7.3.1,建议升级至最新修补版本或限制TCP 7900端口访问。
🎯
关键要点
- 网络安全机构watchTowr Labs发布了Fortinet FortiSIEM系统的命令注入漏洞CVE-2025-25256,CVSS评分为9.8。
- 该漏洞源于输入过滤缺陷,攻击者可执行任意代码,影响FortiSIEM 5.4至7.3.1版本。
- 建议用户升级至最新修补版本或限制TCP 7900端口访问。
- 漏洞属于CWE-78类,攻击者可通过特制命令行接口请求执行任意代码。
- 漏洞源于phMonitor进程中handleStorageArchiveRequest函数的输入过滤机制缺陷。
- 修复版本中,ShellCmd::addParaSafe函数被更安全的函数取代。
- 触发漏洞需满足特定条件,攻击者可通过恶意XML负载执行系统命令。
- 受影响的FortiSIEM版本包括5.4、6.1-6.6、6.7、7.0、7.1、7.2、7.3,7.4版本不受影响。
- 无法立即部署补丁的组织应限制TCP 7900端口访问,攻击行为难以被检测。
- 网络安全社区已发布检测特征生成工具,多个机构发布紧急安全通告。
- 安全专家建议将此漏洞视为紧急事件,优先升级至最新修补版本,并实施严格访问控制。
❓
延伸问答
CVE-2025-25256漏洞的CVSS评分是多少?
该漏洞的CVSS评分为9.8。
Fortinet FortiSIEM的哪些版本受到CVE-2025-25256漏洞的影响?
受影响的版本包括FortiSIEM 5.4至7.3.1,7.4版本不受影响。
如何修复CVE-2025-25256漏洞?
建议用户升级至最新修补版本或限制TCP 7900端口访问。
CVE-2025-25256漏洞的根本原因是什么?
漏洞源于phMonitor进程中handleStorageArchiveRequest函数的输入过滤机制缺陷。
攻击者如何利用CVE-2025-25256漏洞?
攻击者通过向phMonitor服务发送包含恶意XML负载的请求,执行系统命令。
网络安全社区对CVE-2025-25256漏洞的响应是什么?
网络安全社区已发布检测特征生成工具,并多家机构发布紧急安全通告。
➡️
