CVE-2025-32756
Fortimail 脆弱性の分析と軽減

概要

A critical severity stack-based buffer overflow vulnerability (CVE-2025-32756) was discovered in multiple Fortinet products on May 13, 2025. The vulnerability affects FortiVoice, FortiCamera, FortiMail, FortiNDR, and FortiRecorder across various versions. This vulnerability has been assigned a CVSS v3.1 score of 9.8 (Critical) and has been confirmed to be actively exploited in the wild (Fortinet Advisory, Rapid7 Blog).

技術的な詳細

The vulnerability is classified as a stack-based buffer overflow (CWE-121) in the administrative API that allows remote unauthenticated attackers to execute arbitrary code or commands via specially crafted HTTP requests with malformed hash cookies. The vulnerability specifically involves the APSCOOKIE parameter in the admin.fe endpoint, where improper validation of the AuthHash field can lead to a buffer overflow condition (Horizon3 Blog).

影響

The vulnerability enables unauthenticated remote attackers to achieve remote code execution (RCE) on affected systems. When successfully exploited, attackers can execute arbitrary code or commands, potentially leading to complete system compromise. The severity is heightened by the fact that no authentication is required to exploit the vulnerability (Fortinet Advisory, Arctic Wolf).

軽減策と回避策

Fortinet has released patches for supported versions and provided migration guidance for unsupported versions. For customers unable to immediately update, Fortinet recommends disabling the HTTP/HTTPS administrative interface as a temporary workaround. Specific version upgrades have been detailed for each affected product, such as FortiVoice 7.2.0 to 7.2.1, FortiMail 7.6.0-7.6.2 to 7.6.3, and similar updates for other affected products (Fortinet Advisory).

関連情報


ソースこのレポートは AI を使用して生成されました

関連 Fortimail 脆弱 性:

CVE 識別子

重大度

スコア

テクノロジー

コンポーネント名

CISA KEV エクスプロイト

修正あり

公開日

CVE-2025-53681HIGH7.2
  • Fortimail logoFortimail
  • cpe:2.3:a:fortinet:fortimail
いいえはいMay 12, 2026
CVE-2024-40588MEDIUM4.4
  • Fortimail logoFortimail
  • cpe:2.3:a:fortinet:fortimail
いいえはいAug 12, 2025
CVE-2025-54972MEDIUM4.3
  • Fortimail logoFortimail
  • cpe:2.3:a:fortinet:fortimail
いいえはいNov 18, 2025
CVE-2024-47569MEDIUM4.3
  • FortiOS logoFortiOS
  • cpe:2.3:a:fortinet:fortimail
いいえはいOct 14, 2025
CVE-2025-55717MEDIUM4
  • Fortimail logoFortimail
  • cpe:2.3:a:fortinet:fortimail
いいえはいMar 10, 2026

無料の脆弱性評価

クラウドセキュリティポスチャーのベンチマーク

9つのセキュリティドメインにわたるクラウドセキュリティプラクティスを評価して、リスクレベルをベンチマークし、防御のギャップを特定します。

評価を依頼する

パーソナライズされたデモを見る

実際に Wiz を見てみませんか?​

"私が今まで見た中で最高のユーザーエクスペリエンスは、クラウドワークロードを完全に可視化します。"
デビッド・エストリックCISO (最高情報責任者)
"Wiz を使えば、クラウド環境で何が起こっているかを 1 つの画面で確認することができます"
アダム・フレッチャーチーフ・セキュリティ・オフィサー
"Wizが何かを重要視した場合、それは実際に重要であることを私たちは知っています。"
グレッグ・ポニャトフスキ脅威および脆弱性管理責任者