文章总结： Fortinet、Ivanti和SAP三大IT基础设施公司近期发布了高危安全补丁，其中Fortinet的SAML签名验证漏洞(CVE-2025-59718,19)评分9.8，Ivanti的存储型XSS漏洞(CVE-2025-10573)可导致远程代码执行，SAP的代码注入漏洞(CVE-2025-42880)评分高达9.9。文章详细解析了这些漏洞的技术原理，并提供了紧急应对措施：Fortinet用户应立即关闭FortiCloudSSO功能，Ivanti用户需升级到EPM2024SU4SR1，SAP用户应优先为SolutionManager打补丁。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,网络安全,应急响应,解决方案

高危预警！Fortinet、Ivanti、SAP 齐发补丁，最高评分 9.9，你的系统还在好吗？

原创

Hankzheng

技术修道场

2025年12月15日 08:18 广东

做我们这行，最怕早上一睁眼，手机里全是报警邮件。今天这篇推送，可能就是你要转给安全团队或者运维老大的“早报”。

最近安全圈又不太平了。就在这两天，IT 基础设施的三大巨头——Fortinet（飞塔）、Ivanti 和 SAP，不约而同地发布了紧急安全更新。

这可不是那种“修复了一些已知 Bug”的无关痛痒的更新，而是实打实的 Critical（高危） 级别漏洞。CVSS 评分直接飙到了 9.9 和 9.8。

咱们不搞虚的，今天我带大家拆解一下这些漏洞背后的技术原理，看看黑客到底是怎么在我们的眼皮子底下“偷家”的。

01 Fortinet：当“门卫”忘了核对签名

涉及产品： FortiOS, FortiWeb, FortiProxy, FortiSwitchManager

漏洞编号： CVE-2025-59718, CVE-2025-59719

CVSS 评分： 9.8 (严重)

Fortinet 这次的漏洞出在核心的 SAML（安全断言标记语言） 处理机制上。

大家都知道，SAML 是现在企业做 SSO（单点登录）的标准协议。正常流程是：你的 IdP（身份提供商）发一个“通行证”（SAML Assertion）给 FortiGate，上面盖个章（加密签名），说“这是管理员张三，放行”。

技术痛点在哪里？

这次爆出的 CWE-347 漏洞，是 Cryptographic Signature（加密签名）验证不当。

简单来说，攻击者可以伪造一条 SAML 消息，声称自己是管理员，但没有或者使用了错误的签名密钥。按照正常逻辑，FortiOS 应该直接丢弃这个请求。但是，由于代码逻辑的疏忽，系统竟然跳过了签名验证或者错误地信任了未签名的消息，直接放行了！

这就好比你去银行取钱，拿了一张手写的支票，银行柜员看都不看印章真伪，直接就把钱给你了。

注意：

这个漏洞利用的前提是设备启用了 FortiCloud SSO 功能。虽然官方说出厂默认是关闭的，但如果你注册过 FortiCare 并没有手动关掉那个开关，那你就是靶子。

🚑 紧急自救指南

在打补丁之前，赶紧把 FortiCloud SSO 关了：

1. GUI 路径： System -> Settings -> 关闭 “Allow administrative login using FortiCloud SSO”

2. CLI 命令行（以此为准）：

02 Ivanti：看一眼仪表盘，你就“挂”了

涉及产品： Ivanti EPM (Endpoint Manager)

漏洞编号： CVE-2025-10573

CVSS 评分： 9.6 (严重)

Ivanti 这个漏洞我觉得最有意思，但也最阴险。它是一个 Stored XSS（存储型跨站脚本） 漏洞，但它能直接导致 RCE（远程代码执行）。

很多做开发的朋友觉得 XSS 顶多就是弹个窗、偷个 Cookie，但在 EPM 这种高权限管理系统中，XSS 是致命的。

攻击链复盘：

Rapid7 的安全研究员 Ryan Emmons 发现，攻击者根本不需要登录，只要向 EPM 的主 Web 服务发送一个伪造的“设备报告”。

• 投毒（Poisoning）：

  攻击者伪装成一个被管理的端点设备，向服务器发送数据。由于缺乏输入清洗，恶意的 JavaScript 代码被当成正常的设备信息，“存储”在了数据库里。

• 触发（Trigger）：

  这就是最骚的操作——被动触发。作为管理员的你，像往常一样打开 Web 仪表盘查看设备状态。

• 执行（Execution）：

  当你的浏览器渲染那个伪造设备的记录时，恶意的 JS 代码在你的管理员会话上下文中执行了。

技术深度解析：

这不仅仅是前端攻击。因为 JS 是在管理员的 Session 里跑的，攻击者可以利用这个 JS 发起后端 API 请求（CSRF 的进阶版），或者创建新的管理员账号，甚至利用 EPM 的功能下发恶意指令给所有受控终端。

正如安全专家 Douglas McKee 所说：“虽然需要管理员交互，但这几乎是必然发生的——IT 运维人员每天都要看仪表盘啊！”

这是一个典型的供应链攻击思路：我不正面攻破你的防线，我在你的“报表”里下毒，等你自投罗网。

03 SAP：核心系统的“心脏出血”

涉及产品： SAP Solution Manager 等

漏洞编号： CVE-2025-42880 等

CVSS 评分： 9.9 (接近满分)

最后来看看 ERP 霸主 SAP。这次修复了 14 个漏洞，其中最吓人的是 CVE-2025-42880，存在于 SAP Solution Manager 中。

为什么是 9.9 分？

因为 Solution Manager 是管理整个 SAP 景观的“大脑”。这个漏洞是一个 Code Injection（代码注入） 漏洞。

底层原理：

Onapsis 的研究团队发现了一个启用了远程调用的功能模块（Function Module）。由于对输入参数没有做严格的过滤和类型检查，经过身份验证的攻击者可以直接注入任意 ABAP 代码或者操作系统命令。

一旦得手，攻击者等于拿到了 SAP 系统的“上帝权限”，数据窃取、删库跑路、勒索加密，想干嘛干嘛。

此外，SAP 还修复了一个 Java 反序列化漏洞 (CVE-2025-42928)。老 Java 程序员都懂，反序列化一旦处理不好，就是 RCE 的温床。特别是 jConnect SDK 这种底层组件，一旦被精心构造的二进制流攻击，内存里的对象在重建时就会执行恶意逻辑。

💡 写在最后

看完这三个漏洞，不知道大家有什么感觉？

• Fortinet

  告诉我们：加密协议再安全，实现逻辑（Implementation）错了也是白搭。

• Ivanti

  告诉我们：用户输入信任是万恶之源，哪怕输入来自“设备”而非“人”。

• SAP

  告诉我们：权限越大的系统，输入验证（Sanitization）越要做到变态级别。

Action Item (立即行动):

不要抱有侥幸心理。黑客现在的攻击手段已经非常成熟，特别是利用 Ivanti 这种“被动触发”的漏洞，结合社会工程学，成功率极高。

✅ Fortinet 用户： 马上检查 admin-forticloud-sso-login 状态。

✅ Ivanti 用户： 升级到 EPM 2024 SU4 SR1，这是唯一解。

✅ SAP 用户： Solution Manager 是重中之重，优先排期打补丁。

觉得有帮助的话，转给身边的运维兄弟们看看吧，也许能帮他们避开一次严重的生产事故！

查看原文：《高危预警！Fortinet、Ivanti、SAP 齐发补丁，最高评分 9.9，你的系统还在好吗？》