つみかさね

CVE-2025-59718

Critical(9.8)

CVE-2025-59718 — FortiOS / FortiProxy SAML認証バイパス脆弱性

公開日: 2026-06-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FortiOSFortinet7.6.0–7.6.3 / 7.4.0–7.4.8 / 7.2.0–7.2.11 / 7.0.0–7.0.17
FortiProxyFortinet7.6.0–7.6.3 / 7.4.0–7.4.10 / 7.2.0–7.2.14 / 7.0.0–7.0.21
FortiSwitchManagerFortinet7.2.0–7.2.6 / 7.0.0–7.0.5

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1FortiOS / FortiProxy / FortiSwitchManagerのバージョンを確認する
  2. 2FortiCloud SSOが有効かどうか確認する
  3. 3影響バージョンを使用している場合は修正バージョンへアップデートする
  4. 4即時アップデートが困難な場合はFortiCloud SSOを一時的に無効化する
  5. 5不審なSSO経由ログインがないかログを確認する

影響対象

Fortinet FortiOS利用者Fortinet FortiProxy利用者Fortinet FortiSwitchManager利用者

補足

  • -CISA KEVに登録済みのため早急な対応が推奨されます
  • -CVE-2025-59719(FortiWeb)も合わせて確認してください
CVEFortinetFortiOSFortiProxySAML認証バイパス

概要

Fortinet FortiOSおよびFortiProxyのSAML実装に、暗号署名の検証が不適切な脆弱性(CWE-347)が存在します。未認証の攻撃者が細工したSAMLレスポンスを送ることで、FortiCloudのSSO認証をバイパスし、不正ログインが可能になります。

Arctic Wolfは本脆弱性の公開後に実際の悪用事例(不正なSSO経由ログイン)を観測したと報告しており、CISAのKnown Exploited Vulnerabilities(KEV)カタログにも登録済みです。CVE-2025-59719(FortiWeb向け)も同系統の問題です。

CVSSベクトル

属性
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア9.8 (CRITICAL)

影響を受けるソフトウェア

製品影響バージョン
FortiOS7.6.0–7.6.3 / 7.4.0–7.4.8 / 7.2.0–7.2.11 / 7.0.0–7.0.17
FortiProxy7.6.0–7.6.3 / 7.4.0–7.4.10 / 7.2.0–7.2.14 / 7.0.0–7.0.21
FortiSwitchManager7.2.0–7.2.6 / 7.0.0–7.0.5

FortiCloud SSOが有効になっている環境が攻撃対象となります。

修正バージョンと回避策

  • 各シリーズの上記バージョン範囲外の最新バージョンへアップデートする
  • 即時対応が困難な場合はFortiCloud SSOを無効化することを検討する
  • 不審なSSOログインがないかログを確認する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2025-59719FortiWeb SAML認証バイパス脆弱性CVSS 9.8CVE-2026-24858Fortinet 複数製品 認証バイパス(FortiCloud SSO)CVSS 9.8

参考リンク

Fortiguard:https://fortiguard.fortinet.com/psirt/FG-IR-25-647
CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-59718
NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-59718
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。