Fortinet FortiSOAR 未经验证的密码更改漏洞公告 (CVE-2025-59808)
概述
FortiGuard 实验室产品安全事件响应团队(PSIRT)发布了一项安全公告,指出 FortiSOAR 中存在一个未经验证的密码更改漏洞(对应通用弱点枚举 CWE-620)。该漏洞可能允许攻击者在获得受害者用户账户的访问权限后,无需输入该账户的当前密码即可重置账户凭证。
漏洞详情
此漏洞被归类为中危级别,CVSS v3 评分为 6.5。其核心影响在于不当的访问控制,使得攻击者能够绕过正常的密码验证流程。
受影响版本与解决方案
下表详细列出了受影响的 FortiSOAR 版本(包括平台即服务 PaaS 和本地部署 on-premise)及相应的修复方案:
| 产品线 | 受影响版本 | 解决方案 |
|---|---|---|
| FortiSOAR PaaS 7.6 | 7.6.0 至 7.6.2 | 升级至 7.6.3 或更高版本 |
| FortiSOAR PaaS 7.5 | 7.5.0 至 7.5.1 | 升级至 7.5.2 或更高版本 |
| FortiSOAR PaaS 7.4 | 所有 7.4 版本 | 迁移到已修复的版本 |
| FortiSOAR PaaS 7.3 | 所有 7.3 版本 | 迁移到已修复的版本 |
| FortiSOAR on-premise 7.6 | 7.6.0 至 7.6.2 | 升级至 7.6.3 或更高版本 |
| FortiSOAR on-premise 7.5 | 7.5.0 至 7.5.1 | 升级至 7.5.2 或更高版本 |
| FortiSOAR on-premise 7.4 | 所有 7.4 版本 | 迁移到已修复的版本 |
| FortiSOAR on-premise 7.3 | 所有 7.3 版本 | 迁移到已修复的版本 |
时间线与致谢
- 发现与报告:此漏洞由 Fortinet PSIRT 团队的 Shripal Rawal 在内部发现并报告。
- 发布时间线:
- 2025年12月09日:首次公开披露。
参考信息
- 内部参考编号:FG-IR-25-599
- 发布日期:2025年12月9日
- 受影响组件:OTHERS
- CVE 编号:CVE-2025-59808
- 相关下载:CVRF、CSAF 文档可通过官方渠道获取。
建议:所有运行受影响版本 FortiSOAR 的用户和管理员应尽快根据上表采取行动,升级或迁移至安全版本,以消除此安全风险。