Fortinet FortiSIEM 未經驗證遠端命令插入 (FG-IR-25-772)
critical Nessus Plugin ID 284511
語言:
概要
遠端伺服器上執行的 Web 應用程式受到命令插入弱點影響。說明
遠端伺服器上執行的 Fortinet FortiSIEM 版本為 6.7.x 至 6.7.10、7.0.x 至 7.0.4、7.1.x 至 7.1.9、早於 7.2.7 的 7.2.x、早於 7.3.5 的 7.3.x,或 7.4.0。因此,此應用程式受到一個未經驗證遠端命令插入弱點影響:- Fortinet FortiSIEM 7.4.0、FortiSIEM 7.3.0 至 7.3.4、FortiSIEM 7.1.0 至 7.1.8、FortiSIEM 7.0.0 至 7.0.4、FortiSIEM 6.7.0 至 6.7.10 版本中 os 命令中使用的特殊元素存在不當中和 (「os 命令插入」) 弱點,攻擊者可透過特製 TCP 要求執行未經授權的程式碼或命令。(CVE-2025-64155)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Fortinet FortiSIEM 升級至 7.1.9、7.2.7、7.3.5、7.4.1 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 284511
檔案名稱: fortinet_fortisiem_FG-IR-25-772.nasl
版本: 1.2
類型: combined
代理程式: unix
系列: Misc.
已發布: 2026/1/14
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Critical
分數: 9.4
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2025-64155
CVSS v3
風險因素: Critical
基本分數: 9.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱點資訊
CPE: cpe:/a:fortinet:fortisiem
必要的 KB 項目: installed_sw/Fortinet FortiSIEM
修補程式發佈日期: 2026/1/13
弱點發布日期: 2026/1/13
參考資訊
CVE: CVE-2025-64155
IAVB: 2026-B-0014