Podatność typu OS Command Injection (CWE-78) w Fortinet FortiSIEM umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 9.8 i brak wymogu uwierzytelnienia czynią tę lukę wyjątkowo groźną dla organizacji korzystających z FortiSIEM jako systemu bezpieczeństwa.
▸ Pokaż oryginał (EN)
An improper neutralization of special elements used in an OS command ('OS Command Injection') vulnerability [CWE-78] in Fortinet FortiSIEM version 7.3.0 through 7.3.1, 7.2.0 through 7.2.5, 7.1.0 through 7.1.7, 7.0.0 through 7.0.3 and before 6.7.9 allows an unauthenticated attacker to execute unauthorized code or commands via crafted CLI requests.
Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach systemu operacyjnego przetwarzanych przez interfejs CLI FortiSIEM. Atakujący może wysłać spreparowane żądania CLI zawierające złośliwy payload, który zostaje przekazany bezpośrednio do interpretera poleceń systemowych bez odpowiedniego oczyszczenia danych wejściowych. Całkowity brak wymogu uwierzytelnienia (Auth Bypass) oznacza, że exploit może zostać przeprowadzony przez dowolną osobę z dostępem sieciowym do urządzenia.
Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnych poleceń systemowych (RCE) z poziomem uprawnień procesu FortiSIEM, co może prowadzić do pełnego przejęcia systemu, wycieku danych, modyfikacji konfiguracji lub dalszego lateral movement w sieci ofiary.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym komunikatem Fortinet (FG-IR-25-152) pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-152. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu do interfejsu CLI FortiSIEM wyłącznie do zaufanych adresów IP na poziomie firewall oraz segmentację sieci.
Fortinet FortiSIEM w wersjach: 7.3.0–7.3.1, 7.2.0–7.2.5, 7.1.0–7.1.7, 7.0.0–7.0.3 oraz wszystkich wersjach wcześniejszych niż 6.7.9
Publiczny kod proof-of-concept został opublikowany przez watchTowr Labs w repozytorium GitHub (watchtowrlabs/watchTowr-vs-FortiSIEM-CVE-2025-25256) wraz z analizą techniczną na blogu labs.watchtowr.com. Podatność dotyczy systemu klasy SIEM, który z reguły posiada rozległy dostęp do infrastruktury sieciowej i logów bezpieczeństwa — kompromitacja tego systemu niesie wyjątkowo wysokie ryzyko dla całej organizacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFortinet Fortisiem
APPFortinet5.4.0 – 6.7.10 (bez)7.0.0 – 7.0.4 (bez)7.1.0 – 7.1.8 (bez)7.2.0 – 7.2.6 (bez)7.3.0 – 7.3.2 (bez)
Powiązane podatności
Command injection w Fortinet FortiSIEM — RCE przez TCP
Path Traversal w Fortinet FortiSIEM umożliwiający eskalację uprawnień
Command Injection w Fortinet FortiSIEM umożliwiający zdalne wykonanie kodu
Command injection w Fortinet FortiSIEM — nieautoryzowane wykonanie kodu przez API
A improper neutralization of special elements used in an os command ('os command injection') in Fortinet Forti...