CVE-2025-64155

FortiSIEM : Injection de commandes via phMonitor

Une vulnérabilité critique, identifiée comme CVE-2025-64155, a été découverte dans les nœuds Super et Worker de Fortinet FortiSIEM. Elle permet à un attaquant non authentifié d’exécuter du code ou des commandes arbitraires en envoyant des requêtes TCP spécialement conçues au service phMonitor, qui utilise le port TCP 7900 pour la communication entre les nœuds.

Cette faille, due à une mauvaise gestion des entrées utilisateur par un point d’API non authentifié, peut mener à l’écriture de fichiers arbitraires, permettant ainsi une escalade de privilèges jusqu’à obtenir un contrôle administratif complet et un accès root sur l’équipement compromis.

Points clés :

• Produit affecté : Fortinet FortiSIEM (nœuds Super et Worker)
• Service vulnérable : phMonitor
• Port concerné : TCP 7900
• Type de vulnérabilité : Injection de commandes OS (OS Command Injection)
• Impact : Exécution de code non autorisé, écriture de fichiers arbitraires, escalade de privilèges vers un accès root administratif.
• Attaquant : Non authentifié

Vulnérabilité :

• CVE : CVE-2025-64155

Recommandations :

• Appliquer les correctifs publiés par Fortinet.
• Restreindre l’accès au port 7900 (phMonitor).

Source