Ejecución remota de comandos en FortiSIEM de Fortinet
Recursos afectados:
Las versiones de los productos:
- FortiSIEM 7.3, versiones 7.3.0 a 7.3.1
- FortiSIEM 7.2, versiones 7.2.0 a 7.2.5
- FortiSIEM 7.1, versiones 7.1.0 a 7.1.7
- FortiSIEM 7.0, versiones 7.0.0 a 7.0.3
- FortiSIEM 6.7, versiones 6.7.0 a 6.7.9
- FortiSIEM 6.6, todas las versiones
- FortiSIEM 6.5, todas las versiones
- FortiSIEM 6.4, todas las versiones
- FortiSIEM 6.3, todas las versiones
- FortiSIEM 6.2, todas las versiones
- FortiSIEM 6.1, todas las versiones
- FortiSIEM 5.4, todas las versiones
Detalle:
La incorrecta neutralización de caracteres especiales en un comando del sistema operativo puede permitir que un atacante no autenticado ejecute de forma remota comandos o código no autorizado mediante solicitudes manipuladas. Se ha divulgado un exploit que explota esta vulnerabilidad. El fallo ha sido catalogado como CVE-2025-25256.
Descripción:
El vector de ataque implica enviar solicitudes manipuladas al servicio CLI de FortiSIEM que “engañan” al componente vulnerable para que ejecute comandos arbitrarios en el sistema subyacente.
En particular, el componente phMonitor (que normalmente escucha en el puerto TCP 7900) es uno de los vectores explotables. Una explotación exitosa puede permitir al atacante ejecutar comandos o código con privilegios del sistema operativo.
Solución:
Actualizar a FortiSIEM 7.4.0, 7.3.2, 7.2.6, 7.1.8, 7.0.4 o 6.7.10.
Nota: FortiSIEM 7.4 NO está afectado
0 Respuesta(s)
