Fortinet本周发布安全更新，修复了FortiSIEM等多项产品的漏洞，其中包括一个远程代码执行漏洞和一个配置信息泄露的高风险漏洞。

两个高危漏洞分别是FortiSIEM中的CVE-2025-64155，以及影响FortiFone的CVE-2025-47855。FortiSIEM是安全信息与事件管理平台。CVE-2025-64155属于操作系统命令注入漏洞，攻击者可发送伪造的TCP请求，在受影响设备上执行未经授权的程序或指令。该漏洞CVSS评分为9.4。

受影响的产品为FortiSIEM 7.4及以下版本。Fortinet已发布修复版本，建议7.1至7.4版本用户尽快升级至最新版。6.7和7.0版本已终止生命周期（EoL），Fortinet建议用户尽快升级。

第二个高危漏洞CVE-2025-47855存在于FortiFone Web Portal的访问控制缺陷中。FortiFone Web Portal是Fortinet FortiVoice系统的集中管理界面，用于远程配置电话分机、监控通话记录与系统性能。该漏洞允许未授权攻击者通过发送伪造的HTTP或HTTPS请求获取设备配置信息，CVSS评分为9.3。

CVE-2025-47855影响FortiFone 7.0和3.0版本。Fortinet已发布修复补丁，FortiFone 7.2版本不受影响。

此外，Fortinet还修复了四个低风险漏洞，分别为CVE-2025-25249、CVE-2025-59922、CVE-2025-58693和CVE-2025-67685。

CVE-2025-25249是FortiOS及FortiSwitchManager中cw_acd守护进程的堆缓冲区溢出漏洞，远程未授权攻击者可通过发送伪造请求执行任意代码或命令。Fortinet将该漏洞CVSS评分列为7.4，但NIST数据库将其评为9.8。

CVE-2025-59922是FortiClientEMS中的SQL注入漏洞，经身份验证且仅拥有最小只读管理权限的攻击者可发送伪造的HTTP/HTTPS请求，执行未经授权的SQL指令或代码。官方CVSS评分为6.8。

CVE-2025-58693是FortiVoice中的路径遍历漏洞，授权攻击者可通过发送HTTP或HTTPS请求删除底层文件系统的文件，CVSS评分为5.7。

CVE-2025-67685是FortiSandbox中的服务端请求伪造（SSRF）漏洞，经身份验证的攻击者可利用特制HTTP请求，使FortiSandbox代理访问内部网络中未加密的服务，CVSS评分为3.8，属低风险漏洞。