L’article publié par Jimi Sebree dans Attack Blogs le 22 mai 2025, détaille une vulnérabilité critique, CVE-2025-32756, affectant divers produits Fortinet tels que FortiCamera, FortiMail, FortiNDR, FortiRecorder et FortiVoice. Cette vulnérabilité est un débordement de tampon basé sur la pile dans l’API administrative, ce qui peut mener à une exécution de code à distance non authentifiée.
FortiGuard Labs a publié un avis sur cette vulnérabilité le 13 mai 2025, et elle a été ajoutée au catalogue CISA KEV le lendemain, indiquant qu’elle est déjà exploitée dans la nature. L’analyse technique a révélé que la vulnérabilité réside dans une bibliothèque partagée, notamment dans la fonction cookieval_unwrap() de libhttputil.so, où l’absence de vérification de taille pour le champ AuthHash entraîne un débordement de tampon.
L’article fournit une analyse approfondie du processus de reverse engineering utilisé pour identifier la faille, incluant l’utilisation d’outils comme Ghidra et l’assistance d’IA pour décompiler et comparer les versions corrigées et non corrigées du logiciel. Les chercheurs ont découvert que la faille permettait de contrôler l’adresse de retour sur la pile, facilitant ainsi l’exploitation.
L’article conclut en soulignant l’importance de mettre à jour les systèmes affectés ou d’appliquer les mitigations recommandées par FortiGuard Labs. Il s’agit d’un rapport de vulnérabilité détaillé visant à informer les utilisateurs des risques et des mesures à prendre.
🔗 Source originale : https://horizon3.ai/attack-research/attack-blogs/cve-2025-32756-low-rise-jeans-are-back-and-so-are-buffer-overflows/