CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-32756

Stack-based buffer overflow RCE w produktach Fortinet (FortiMail, FortiVoice i inne)

CVSS 9.8v3.1pub. 2025-05-13upd. 2026-01-14

Krytyczna podatność typu stack-based buffer overflow w wielu produktach Fortinet umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu lub poleceń systemowych. Podatność jest aktywnie wykorzystywana w atakach i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

A stack-based buffer overflow vulnerability [CWE-121] vulnerability in Fortinet FortiCamera 2.1.0 through 2.1.3, FortiCamera 2.0 all versions, FortiCamera 1.1 all versions, FortiMail 7.6.0 through 7.6.2, FortiMail 7.4.0 through 7.4.4, FortiMail 7.2.0 through 7.2.7, FortiMail 7.0.0 through 7.0.8, FortiNDR 7.6.0, FortiNDR 7.4.0 through 7.4.7, FortiNDR 7.2.0 through 7.2.4, FortiNDR 7.0.0 through 7.0.6, FortiRecorder 7.2.0 through 7.2.3, FortiRecorder 7.0.0 through 7.0.5, FortiRecorder 6.4.0 through 6.4.5, FortiVoice 7.2.0, FortiVoice 7.0.0 through 7.0.6, FortiVoice 6.4.0 through 6.4.10 allows a remote unauthenticated attacker to execute arbitrary code or commands via sending HTTP requests with specially crafted hash cookie.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie HTTP zawierające złośliwie skonstruowaną wartość hash cookie. Nieprawidłowa obsługa tej wartości powoduje przepełnienie bufora na stosie (stack-based buffer overflow, CWE-121 / CWE-787), co umożliwia nadpisanie obszarów pamięci procesu. Atak nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika — wystarczy dostęp sieciowy do podatnego interfejsu HTTP.

Skutki

Pomyślne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu lub poleceń systemowych z uprawnieniami podatnego procesu, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym poradnikiem bezpieczeństwa Fortinet (FG-IR-25-254) dostępnym pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-254. Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu do interfejsów HTTP podatnych urządzeń wyłącznie do zaufanych adresów IP oraz wzmożone monitorowanie ruchu sieciowego.

Kogo dotyczy

FortiCamera 1.1 (wszystkie wersje), FortiCamera 2.0 (wszystkie wersje), FortiCamera 2.1.0–2.1.3; FortiMail 7.0.0–7.0.8, 7.2.0–7.2.7, 7.4.0–7.4.4, 7.6.0–7.6.2; FortiNDR 7.0.0–7.0.6, 7.2.0–7.2.4, 7.4.0–7.4.7, 7.6.0; FortiRecorder 6.4.0–6.4.5, 7.0.0–7.0.5, 7.2.0–7.2.3; FortiVoice 6.4.0–6.4.10, 7.0.0–7.0.6, 7.2.0

Uwagi

Podatność znajduje się w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Organizacje korzystające z wymienionych produktów Fortinet powinny potraktować wdrożenie patcha jako zadanie priorytetowe.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fortinet Forticamera

    HW
    Fortinet
    wszystkie wersje
  • Fortinet Forticamera Firmware

    OS
    Fortinet
    1.1.0 – 1.1.52.0.0 – 2.1.3
  • Fortinet Fortimail

    APP
    Fortinet
    7.6.0 – 7.6.3 (bez)7.0.0 – 7.0.9 (bez)7.2.0 – 7.2.8 (bez)7.4.0 – 7.4.5 (bez)
  • Fortinet Fortindr

    APP
    Fortinet
    1.1.01.2.01.3.01.4.01.5.07.1.07.1.17.6.07.0.0 – 7.0.7 (bez)7.4.0 – 7.4.8 (bez)7.2.0 – 7.2.5 (bez)
  • Fortinet Fortirecorder

    APP
    Fortinet
    6.4.0 – 6.4.6 (bez)7.0.0 – 7.0.6 (bez)7.2.0 – 7.2.4 (bez)
  • Fortinet Fortivoice

    APP
    Fortinet
    7.2.06.4.0 – 6.4.11 (bez)7.0.0 – 7.0.7 (bez)

CISA KEV — szczegółyi

Dostawcai
Fortinet
Produkti
Multiple Products
Data dodania do KEVi
14 maja 2025
Termin remediation (USA)i
4 czerwca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zrezygnuj z używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Produkty Fortinet FortiFone, FortiVoice, FortiNDR i FortiMail zawierają lukę podatności przepełnienia stosu, która może umożliwić zdalnemu atakującemu bez uwierzytelnienia wykonanie arbitralnego kodu lub poleceń poprzez crafted żądania HTTP.

tłumaczenie AI
Pokaż oryginał (EN)

Fortinet FortiFone, FortiVoice, FortiNDR and FortiMail contain a stack-based overflow vulnerability that may allow a remote unauthenticated attacker to execute arbitrary code or commands via crafted HTTP requests.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 4 czerwca 2025
Tagi
RCEAuth BypassMemory
CWE
Referencje

Powiązane podatności

CVE-2023-47539CRITICAL9.8PL ✓ten sam produkt

FortiMail: Pominięcie uwierzytelnienia admina przez RADIUS i remote_wildcard

CVE-2021-36166CRITICAL9.8ten sam produkt

An improper authentication vulnerability in FortiMail before 7.0.1 may allow a remote attacker to efficiently ...

CVE-2021-24007CRITICAL9.8ten sam produkt

Multiple improper neutralization of special elements of SQL commands vulnerabilities in FortiMail before 6.4.4...

CVE-2020-9294CRITICAL9.8ten sam produkt

An improper authentication vulnerability in FortiMail 5.4.10, 6.0.7, 6.2.2 and earlier and FortiVoiceEntrepris...

CVE-2025-53681HIGH7.2ten sam produkt

An improper neutralization of special elements used in an SQL Command ("SQL Injection&") vulnerability [CWE-89...