Fortinet 在其 FortiDDoS-F 产品线中披露了一个中等严重性漏洞，该漏洞可能允许特权攻击者执行未经授权的命令。该漏洞被跟踪为 CVE-2024-45325，是存在于产品命令行界面 （CLI） 中的作系统命令注入漏洞。

该漏洞被识别为 CWE-78，源于作系统命令中使用的特殊元素的不当中和。具有高权限和对系统的本地访问权限的攻击者可以通过向 CLI 发送特制请求来利用此弱点。

成功的漏洞利用将允许攻击者以应用程序的权限执行任意代码或命令，从而可能导致整个系统受到损害。

该漏洞的 CVSSv3 评分为 6.5，将其归类为中等严重性。

CVSS 向量 AV：L/AC：L/PR：H/UI：N/S：U/C：H/I：H/A：H 表示攻击者需要本地访问和高级权限，并且不需要用户交互。

尽管有很高的权限要求，但对机密性、完整性和可用性的潜在影响很大。该问题是由 Fortinet 产品安全团队的 Théo Leleu 在内部发现并报告的。

受影响的版本和缓解措施

Fortinet 已确认多个版本的 FortiDDoS-F 受到此漏洞的影响。该公告 FG-IR-24-344 于 2025 年 9 月 9 日发布，概述了具体版本以及建议管理员采取的措施。

强烈建议运行易受攻击版本的管理员应用建议的更新或迁移到已修补的版本，以防止潜在的利用。

使用 FortiDDoS-F 7.0 的组织应立即升级到 7.0.3 版，而使用旧分支（6.1 到 6.6）的组织必须计划迁移到安全版本。