Selon WatchTowr Labs, une vulnérabilité critique CVE-2025-25256 affecte FortiSIEM (versions 5.4 à 7.3.1), permettant une injection de commandes pré-authentification via le composant phMonitor exposé sur le port 7900, avec un risque de compromission complète du SIEM.
Le problème réside dans l’usage non sûr de ShellCmd::addParaSafe dans la fonction handleStorageArchiveRequest du binaire C++ phMonitor. Des payloads XML malveillants peuvent injecter des commandes dans les champs archive_nfs_server_ip ou archive_nfs_archive_dir, lorsque archive_storage_type est défini sur « nfs » et que les deux paramètres (IP et répertoire) sont fournis.
La fonction addParaSafe n’échappe que les guillemets, ce qui s’avère insuffisant contre l’injection de commandes, ouvrant la voie à l’exécution arbitraire de commandes sans authentification.
Fortinet a corrigé la faille en remplaçant addParaSafe par des fonctions de validation spécifiques : addHostnameOrIpParam et addDiskPathParam.
TTPs observés:
- ✅ Pré-auth RCE via injection de commandes
- ✅ Abus de parsing XML sur des paramètres NFS
- ✅ Cible: service phMonitor (port 7900)
- ✅ Validation d’entrée insuffisante dans une voie de configuration/archivage
🔗 Source originale : https://labs.watchtowr.com/should-security-solutions-be-secure-maybe-were-all-wrong-fortinet-fortisiem-pre-auth-command-injection-cve-2025-25256/