研究人员已经发布了CVE-2025-32756的PoC,这是一个严重的安全漏洞,正在Fortinet产品中积极利用,如FortiMail和FortiCamera。这种基于堆栈的缓冲区溢出允许未经身份验证的远程代码执行。

CVE-2025-32756攻击者目前正在积极使用CVE-2025-32756跟踪的安全漏洞,影响多个Fortinet产品。Fortinet 产品安全团队根据观察到的威胁活动发现了此漏洞,其中包括网络扫描、凭据日志记录和日志文件擦除。

Fortinet的安全团队FortiGuard issued Labs随后在5月13日发出警报,确认他们看到这个漏洞在现实世界的攻击中被利用。各种Fortinet产品都处于危险之中,包括FortiCamera,FortiMail,FortiNDR,FortiRecorder和FortiVoice。5月14日,它被添加到CISA KEV目录中。

包括Jimi Sebree在内的Horizon3.ai的研究人员一直在研究这一缺陷,并发表了一个基本的概念证明,这是如何使用漏洞的简单演示。他们与Hackread.com共享的工作,包括查看修补和未修补的FortiMail版本,以确定该漏洞的确切位置。

他们发现这个问题存在于共享库中,并且与系统如何处理称为APSCOOKIE的特定会话管理cookie有关,特别是解码和处理此cookie中AuthHash字段的问题。该漏洞允许远程未经身份验证的攻击者通过精心制作的HTTP请求执行任意代码或命令。

问题是什么?

CVE-2025-32756基本上是管理API中的一个缺陷,系统试图将太多数据塞入有限的空间。当这种情况发生时,额外的数据会溢出到它不应该的区域,这可以让攻击者有办法窃取他们自己的恶意代码,他们甚至可以在不需要密码的情况下做到这一点。

这种类型的缺陷很古老,暗示了20世纪90年代的黑客技术。然而,这个问题的严重性非常高,在共同漏洞评分系统(CVSS)上得分为9.8分,该系统衡量安全风险的潜在影响。

紧急呼叫更新

鉴于攻击者已经使用此漏洞,并且许多易受攻击的Fortinet系统在互联网上暴露,专家强烈建议所有用户尽快更新其产品或应用推荐的修复程序。

FortiGuard实验室的咨询提供了有关如何识别系统是否受到影响以及采取哪些措施来防止这种严重威胁的详细信息。一个建议的缓解措施,如果无法立即修补,就是禁用HTTP/HTTPS管理接口。鉴于易于开发,立即采取行动对保护受影响系统至关重要。