CRITICAL🇬🇧 English

CVE-2025-25256

Krytyczny pre-auth command injection w Fortinet FortiSIEM (RCE)

CVSS 9.8v3.1pub. 2025-08-12upd. 2025-08-15

Podatność typu OS Command Injection (CWE-78) w Fortinet FortiSIEM umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 9.8 i brak wymogu uwierzytelnienia czynią tę lukę wyjątkowo groźną dla organizacji korzystających z FortiSIEM jako systemu bezpieczeństwa.

Pokaż oryginał (EN)

An improper neutralization of special elements used in an OS command ('OS Command Injection') vulnerability [CWE-78] in Fortinet FortiSIEM version 7.3.0 through 7.3.1, 7.2.0 through 7.2.5, 7.1.0 through 7.1.7, 7.0.0 through 7.0.3 and before 6.7.9 allows an unauthenticated attacker to execute unauthorized code or commands via crafted CLI requests.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach systemu operacyjnego przetwarzanych przez interfejs CLI FortiSIEM. Atakujący może wysłać spreparowane żądania CLI zawierające złośliwy payload, który zostaje przekazany bezpośrednio do interpretera poleceń systemowych bez odpowiedniego oczyszczenia danych wejściowych. Całkowity brak wymogu uwierzytelnienia (Auth Bypass) oznacza, że exploit może zostać przeprowadzony przez dowolną osobę z dostępem sieciowym do urządzenia.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnych poleceń systemowych (RCE) z poziomem uprawnień procesu FortiSIEM, co może prowadzić do pełnego przejęcia systemu, wycieku danych, modyfikacji konfiguracji lub dalszego lateral movement w sieci ofiary.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym komunikatem Fortinet (FG-IR-25-152) pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-152. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu do interfejsu CLI FortiSIEM wyłącznie do zaufanych adresów IP na poziomie firewall oraz segmentację sieci.

Kogo dotyczy

Fortinet FortiSIEM w wersjach: 7.3.0–7.3.1, 7.2.0–7.2.5, 7.1.0–7.1.7, 7.0.0–7.0.3 oraz wszystkich wersjach wcześniejszych niż 6.7.9

Uwagi

Publiczny kod proof-of-concept został opublikowany przez watchTowr Labs w repozytorium GitHub (watchtowrlabs/watchTowr-vs-FortiSIEM-CVE-2025-25256) wraz z analizą techniczną na blogu labs.watchtowr.com. Podatność dotyczy systemu klasy SIEM, który z reguły posiada rozległy dostęp do infrastruktury sieciowej i logów bezpieczeństwa — kompromitacja tego systemu niesie wyjątkowo wysokie ryzyko dla całej organizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fortinet Fortisiem

    APP
    Fortinet
    5.4.0 – 6.7.10 (bez)7.0.0 – 7.0.4 (bez)7.1.0 – 7.1.8 (bez)7.2.0 – 7.2.6 (bez)7.3.0 – 7.3.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-64155CRITICAL9.8PL ✓ten sam produkt

Command injection w Fortinet FortiSIEM — RCE przez TCP

CVE-2023-40714CRITICAL9.9PL ✓ten sam produkt

Path Traversal w Fortinet FortiSIEM umożliwiający eskalację uprawnień

CVE-2024-23109CRITICAL10.0PL ✓ten sam produkt

Command Injection w Fortinet FortiSIEM umożliwiający zdalne wykonanie kodu

CVE-2024-23108CRITICAL10.0PL ✓ten sam produkt

Command injection w Fortinet FortiSIEM — nieautoryzowane wykonanie kodu przez API

CVE-2023-36553CRITICAL9.8ten sam produkt

A improper neutralization of special elements used in an os command ('os command injection') in Fortinet Forti...