文章总结： Fortinet披露FortiSIEM存在关键命令注入漏洞CVE-2025-64155，CVSS评分9.4。攻击者可利用phMonitor组件7900端口在无需认证的情况下执行任意代码。受影响版本涉及超级节点和工人节点。建议用户立即升级或限制TCP7900端口访问，并审计相关流量日志以降低风险。 综合评分： 83 文章分类： 漏洞预警,漏洞分析

关键的FortiSIEM漏洞允许攻击者通过TCP数据包执行任意命令

原创

O安全研究员

O安全研究员

2026年1月14日 20:06 广东

Fortinet 于 2026 年 1 月 13 日披露了 FortiSIEM 中的一个关键作系统命令注入漏洞，警告用户存在一个高风险漏洞，该漏洞允许未经认证的攻击者执行任意代码。

该问题被追踪为CVE-2025-64155，源于phMonitor组件7900端口中作系统命令（CWE-78）中特殊元素的不当中和。攻击者可以对超级节点和工人节点发放恶意 TCP 请求，可能导致整个系统被攻破。

该漏洞基于 CVSS v3.1 基础评分为 9.4（AV：N/AC：L/PR：N/UI：N/S：U/C：H/I：H/A：H），因其网络可访问性、低复杂性及缺乏必要权限，被评为“危急”。

无需用户交互，利用可能导致远程代码执行、数据盗窃或在依赖FortiSIEM进行安全信息和事件管理的环境中存在持久化。

受影响版本及修复

该缺陷影响多个FortiSIEM分支，但收集器节点不受影响。Fortinet敦促立即升级或迁移，通过防火墙限制TCP 7900端口的访问作为变通方案。

在生产环境中运行易受攻击版本的组织面临较高风险，尤其是在混合或本地部署SIEM时。

Horizon3.ai 的安全研究员Zach Hanley（@hacks_zach）负责任地报告了Fortinet程序下的漏洞。该通告（FG-IR-25-772）已发布在Fortinet的PSIRT页面上，NVD细节尚待全面分析。目前尚无积极利用的证据浮现，但未经认证的特性要求紧迫性。

Fortinet 建议审计异常 TCP/7900 流量日志并及时安装补丁。此事件凸显了SIEM架构中最低权限网络分段的必要性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员《关键的FortiSIEM漏洞允许攻击者通过TCP数据包执行任意命令》