文章总结： 本文预警FortinetFortiClientEMS存在SQL注入漏洞CVE-2025-59922，影响7.4.5、7.4.2、7.2.11之前版本及7.0全版本。攻击者可利用只读管理员权限执行恶意SQL命令。建议立即升级至最新版本，严格限制只读管理员权限，开启详细日志监控异常SQL行为，并对管理接口进行网络隔离以降低风险。 综合评分： 81 文章分类： 漏洞预警,漏洞分析,终端安全,安全建设

【漏洞预警】Fortinet FortiClientEMS SQL注入漏洞CVE-2025-59922

cexlife cexlife

飓风网络安全

2026年1月16日 23:29 北京

漏洞描述:

Fоrtinеt FоrtiCliеntEMS是一款由Fоrtinеt公司开发的终端管理软件,用于管理企业内部的终端设备,该软件支持多个版本，包括7.4.3至7.4.4、7.4.0至7.4.1、7.2.0至7.2.10以及7.0所有版本

在这些版本中存在一个SQL注入漏洞,该漏洞源于软件未能正确中和SQL命令中的特殊元素。攻击者若拥有至少只读管理员权限,可以通过精心构造的HTTP或HTTPS请求,执行未授权的SQL代码或命令

影响产品及版本:

Fortinet FortiClientEMS,受影响版本包括:

FortiClientEMS < 7.4.5

FortiClientEMS < 7.4.2

FortiClientEMS < 7.2.11

FortiClientEMS 7.0（所有子版本）

检测方法:

检查FortiClientEMS的配置和日志,寻找异常的SQL命令执行记录

尽快升级到FоrtiCliеntEMS的最新版本,并确保所有终端设备都应用了安全补丁

缓解方案:

限制只读管理员权限,避免不必要的权限滥用,并监控异常的数据库访问行为

建议措施:

立即升级：将所有FortiClientEMS实例升级至7.4.5或更高版本，或确认已应用官方补丁。

权限最小化：严格审查并限制“只读管理员”权限的分配范围，仅对必要人员开放，并启用多因素认证（MFA）。

日志监控与检测：在FortiClientEMS系统中开启详细审计日志，监控异常的SQL查询行为（如包含UNION, OR 1=1, sleep()等特征的请求）,结合日志分析系统进行实时告警。

网络隔离：将FortiClientEMS管理接口部署于隔离区域，限制非授权IP访问，并通过WAF规则过滤恶意请求模式。

漏洞扫描常态化：定期对内部管理平台执行漏洞扫描与渗透测试，识别类似权限滥用或输入验证缺陷。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife cexlife《【漏洞预警】Fortinet FortiClientEMS SQL注入漏洞CVE-2025-59922》