Fortinet产品多重漏洞可导致任意代码执行

MS-ISAC 公告编号： 2025-108
发布日期： 2025年11月18日

概述

在Fortinet产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。

• FortiClient for Windows：统一的端点安全解决方案，提供VPN客户端、防病毒保护、网页过滤等功能
• FortiExtender：提供安全的5G/LTE和以太网连接的设备
• FortiMail：安全的电子邮件网关，防范垃圾邮件、网络钓鱼和恶意软件
• FortiPAM：提供特权账户管理、会话监控和基于角色的访问控制
• FortiSandbox：使用沙箱分析可疑文件和网络流量的高级威胁检测解决方案
• FortiADC：应用交付控制器，提高Web应用的可用性、性能和安全性
• FortiWeb：Web应用防火墙，保护Web应用和API免受网络攻击
• FortiVoice：统一通信解决方案，集成了语音、聊天、会议和传真
• FortiOS：Fortinet专有操作系统，用于多个产品线
• FortiProxy：安全Web网关产品，保护用户免受互联网攻击

成功利用最严重的这些漏洞可能允许在受影响服务账户的上下文中执行任意代码。根据与服务账户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

威胁情报

Fortinet已知CVE-2025-58034已在野外被利用。

受影响系统

• FortiClient Windows：7.4.0 - 7.4.3、7.2.0 - 7.2.10、7.0所有版本
• FortiExtender：7.6.0 - 7.6.1、7.4.0 - 7.4.6、7.2所有版本、7.0所有版本
• FortiMail：7.6.0 - 7.6.3、7.4.0 - 7.4.5、7.2所有版本、7.0所有版本
• FortiPAM：1.6.0、1.5所有版本、1.4所有版本、1.3所有版本、1.2所有版本、1.1所有版本、1.0所有版本
• FortiSandbox：5.0.0 - 5.0.1、4.4.0 - 4.4.7、4.2所有版本、4.0所有版本
• FortiADC：8.0、7.6.0 - 7.6.2、7.4.0 - 7.4.7、7.2所有版本、7.1所有版本、7.0所有版本、6.2所有版本
• FortiWeb：8.0.0 - 8.0.1、7.6.0 - 7.6.5、7.4.0 - 7.4.10、7.2.0 - 7.2.11、7.0.0 - 7.0.11
• FortiVoice：7.2.0 - 7.2.2、7.0.0 - 7.0.7
• FortiOS：7.6.0 - 7.6.3、7.4.0 - 7.4.8、7.2所有版本、7.0所有版本、6.4所有版本、6.2所有版本、6.0所有版本
• FortiProxy：7.6.0 - 7.6.3、7.4所有版本、7.2所有版本、7.0所有版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户： 低

技术摘要

在Fortinet产品中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。漏洞详情如下：

策略：初始访问（TA0001） 技术：利用面向公众的应用程序（T1190）：

• CVE-2025-58412：FortiADC虚拟服务器默认错误页面中的脚本相关HTML标签不当中和漏洞，可能允许未经身份验证的攻击者通过特制URL执行恶意代码
• CVE-2025-58431：FortiOS CAPWAP守护进程中的基于栈的溢出漏洞，可能允许相邻网络上的远程未经身份验证攻击者通过发送特制数据包实现任意代码执行
• CVE-2025-53843：FortiOS和FortiSwitchManager CAPWAP守护进程中的基于栈的溢出漏洞，可能允许远程经过身份验证的攻击者以低权限用户身份执行任意代码或命令
• CVE-2025-46215：FortiSandbox中的不当隔离或分区漏洞，可能允许未经身份验证的攻击者通过特制文件逃避沙箱扫描
• CVE-2025-58034：FortiWeb中的操作系统命令注入漏洞，可能允许经过身份验证的攻击者通过特制HTTP请求或CLI命令在底层系统上执行未经授权的代码（已在野外被利用）
• CVE-2025-48839：FortiADC中的越界写入漏洞，可能允许经过身份验证的攻击者通过特制HTTP请求执行任意代码
• CVE-2025-58692：FortiVoice中的SQL注入漏洞，可能允许经过身份验证的攻击者通过特制HTTP或HTTPS请求执行未经授权的代码或命令
• CVE-2025-47761：FortiClient Windows中的暴露IOCTL且访问控制不足漏洞，可能允许经过身份验证的本地用户通过fortips驱动程序执行未经授权的代码
• CVE-2025-46776：FortiExtender json_cli中的缓冲区溢出漏洞，可能允许经过身份验证的用户通过特制CLI命令执行任意代码或命令
• CVE-2025-46373：FortiClient Windows中的基于堆的缓冲区溢出漏洞，可能允许经过身份验证的本地IPSec用户通过"fortips_74.sys"驱动程序执行任意代码或命令

较低严重性漏洞详情：

• CVE-2025-54972：FortiMail用户GUI中的CRLF头注入漏洞
• CVE-2025-61713：FortiPAM中内存中敏感信息的明文存储漏洞
• CVE-2025-46775：FortiExtender中凭证保护不足漏洞
• CVE-2025-54660：FortiClientWindows中的活动调试代码漏洞
• CVE-2025-54971：FortiADC日志中的敏感信息暴露给未经授权参与者漏洞
• CVE-2025-54821：FortiOS、FortiProxy和FortiPAM中的不当权限管理漏洞
• CVE-2025-59669：FortiWeb内部redis服务中的硬编码凭证漏洞

建议措施

我们建议采取以下行动：

1. 应用补丁：在经过适当测试后，立即对易受攻击的系统应用Fortinet提供的稳定通道更新
2. 建立漏洞管理流程：建立并维护企业资产的漏洞管理流程
3. 建立修复流程：建立并维护基于风险的修复策略
4. 执行自动补丁管理：每月或更频繁地通过自动补丁管理执行应用程序更新
5. 执行漏洞扫描：每月或更频繁地执行外部暴露企业资产的自动漏洞扫描
6. 修复检测到的漏洞：每月或更频繁地修复软件中检测到的漏洞
7. 进行应用程序渗透测试：对关键应用程序进行身份验证的渗透测试
8. 确保网络基础设施更新：确保网络基础设施保持最新状态
9. 应用最小权限原则：对所有系统和服务应用最小权限原则
10. 使用漏洞扫描：使用漏洞扫描查找潜在可利用的软件漏洞
11. 启用防利用功能：在可能的情况下，在企业资产和软件上启用防利用功能
12. 实施网络分段：架构网络部分以隔离关键系统、功能或资源

参考资料

CVE链接：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47761
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-46776
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-46373
• （其他CVE链接）

Fortinet链接：

• https://fortiguard.fortinet.com/psirt
• https://fortiguard.fortinet.com/psirt/FG-IR-25-112
• （其他Fortinet安全公告链接）