Fortinet安全漏洞分析:显式Web代理中的域名前端保护绕过

本文详细分析了FortiOS和FortiProxy显式Web代理中存在的安全漏洞(CVE-2025-25255),该漏洞允许经过身份验证的代理用户通过精心构造的HTTP请求绕过域名前端保护功能,属于标准安全检查实现不当漏洞类型。

摘要

FortiOS和FortiProxy显式Web代理中存在标准安全检查实现不当漏洞[CWE-358],可能允许经过身份验证的代理用户通过精心构造的HTTP请求绕过域名前端保护功能。

版本影响与解决方案

产品 受影响版本 解决方案
FortiOS 7.6 7.6.0至7.6.3 升级至7.6.4或更高版本,并参考以下解决方案
FortiOS 7.4 不受影响 不适用
FortiOS 7.2 不受影响 不适用
FortiOS 7.0 不受影响 不适用
FortiOS 6.4 不受影响 不适用
FortiProxy 7.6 7.6.0至7.6.3 升级至7.6.4或更高版本,并参考以下解决方案
FortiProxy 7.4 7.4所有版本 迁移至修复版本
FortiProxy 7.2 7.2所有版本 迁移至修复版本
FortiProxy 7.0 7.0.1至7.0.21 迁移至修复版本

使用我们的升级路径工具遵循推荐升级路径:https://docs.fortinet.com/upgrade-tool

解决方案

升级至7.6.4或更高版本,并将域名前端设置修改为新的"strict"选项,以在使用域名或IP时阻止Host头与SNI不匹配的情况。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

config firewall profile-protocol-options
    edit "test"
        set comment "All default services."
        config http
            set ports 80
            unset options
            unset post-lang
            set domain-fronting strict <----- 新选项(非默认)
        end
    next
end

致谢

Fortinet感谢Compass Security的Emanuel Duss在负责任披露下报告此漏洞。

时间线

2025-10-14:首次发布

漏洞信息

  • IR编号:FG-IR-24-372
  • 发布日期:2025年10月14日
  • 组件:其他
  • 严重程度:低
  • CVSSv3评分:3.9
  • 影响:不当访问控制
  • CVE ID:CVE-2025-25255

下载

  • CVRF
  • CSAF
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次