← 返回资源
安全公告
Fortinet: FortiOS、FortiSIEM 等的关键漏洞
Fortinet 已发布更新,解决了 FortiSIEM、FortiFone、FortiOS、FortiSASE 和 FortiSwitchManager 中的多个关键和高严重性安全漏洞。Fortinet 产品中的漏洞经常成为攻击者的目标;组织应优先应用这些补丁。
关键问题
FortiSIEM – 远程命令注入 (CVE-2025-64155)
CVSS 9.4 – 关键。 网络上未经身份验证的攻击者可以通过特制的 TCP 请求注入任意命令和代码,这是由于在操作系统命令中使用的输入过滤不足。
修复版本: FortiSIEM 7.4.1、7.3.5、7.2.7 和 7.1.9。旧版本必须迁移至修复版本。
FortiFone – 未经身份验证访问敏感数据 (CVE-2025-47855)
CVSS 9.3 – 关键。 未经身份验证的攻击者可以通过被操纵的 HTTP 或 HTTPS 请求从 FortiFone 网页门户获取敏感信息,无需登录。
修复版本: FortiFone 7.0.2 和 3.0.24 或更新版本。
高严重性
FortiOS、FortiSASE、FortiSwitchManager – 堆缓冲区溢出 (CVE-2025-25249)
CVSS 7.4 – 高。 对 cw_acd 守护进程的特制请求可能触发基于堆的缓冲区溢出;未经身份验证的网络攻击者可能实现代码执行。
临时缓解措施: 在所有可行的接口上删除 "fabric" 访问。
修复版本: FortiOS 7.6.4、7.4.9、7.2.12、7.0.18、6.4.17;FortiSASE 25.2.c;FortiSwitchManager 7.2.7 和 7.0.6 或更新版本。FortiSASE 25.1.a.2 受影响;需要迁移至 25.2.c。
Fortinet 还解决了 FortiClientEMS、FortiVoice 和 FortiSandbox 中的其他中低严重性问题。安全团队应根据官方公告核实产品版本,并及时安排更新。