HIGHCVE-2025-60024CVSS 7.7

Fortinet FortiVoice 7.2.0から7.2.2、およびFortiVoice 7.0.0から7.0.7における、制限されたディレクトリへのパス名の不適切な制限 ('Path Traversal') [CWE-22] の脆弱性

プラットフォーム

fortinet

コンポーネント

fortivoice

修正版

7.2.3

7.0.8

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-60024は、Fortinet FortiVoice 7.0.0から7.2.2までのバージョンに存在するパス・トラバーサル脆弱性です。この脆弱性を悪用されると、認証された攻撃者がHTTPまたはHTTPSコマンドを通じて、システム上の任意の場所にファイルを書き込むことが可能になります。Fortinetは、この脆弱性に対する修正プログラムをリリースしています。

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者がFortiVoiceデバイス上で任意のファイルを書き込めることを意味します。これにより、システム設定の改ざん、悪意のあるコードの実行、機密情報の窃取など、深刻な被害が発生する可能性があります。攻撃者は、この脆弱性を利用して、FortiVoiceデバイスを完全に制御し、ネットワーク全体への攻撃の足がかりとして利用する可能性があります。類似の脆弱性は、Webサーバーやファイル共有システムで頻繁に確認されており、適切なアクセス制御と入力検証の欠如が原因であることが多いです。

悪用の状況

CVE-2025-60024は、2025年12月9日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用が容易であり、将来的に悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing FortiVoice devices, particularly those with legacy configurations or shared hosting environments, are at risk. Environments where privileged user accounts have broad write access to the system are especially vulnerable. Any deployment relying on FortiVoice for critical voice communication should prioritize patching.

検出手順翻訳中…

• fortinet / server:

journalctl -u fortivvoice | grep -i "path traversal"

• fortinet / server:

find /var/log/fortivvoice -type f -mtime -7 -name "*.log" | grep -i "path traversal"

• generic web:

curl -I 'http://fortivoice/../../../../etc/passwd' # Example path traversal attempt

攻撃タイムライン

2025-12-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントfortivoice

ベンダーFortinet

影響範囲修正版

7.2.0 – 7.2.27.2.3

7.0.0 – 7.0.77.0.8

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-25
公開日2025-12-09
更新日2026-02-26
EPSS 更新日2026-03-23

未パッチ — 公開から166日経過

緩和策と回避策

Fortinetは、この脆弱性に対する修正プログラムをリリースしています。まず、FortiVoiceデバイスを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な緩和策として、HTTP/HTTPSコマンドに対するアクセス制御を強化し、許可されたユーザーのみが特定のコマンドを実行できるように制限してください。また、Webアプリケーションファイアウォール（WAF）やリバースプロキシを使用して、悪意のあるリクエストをブロックすることも有効です。Fortinetのセキュリティアドバイザリを参照し、推奨される設定変更を適用してください。

修正方法翻訳中…

Actualice FortiVoice a una versión posterior a 7.0.7 o 7.2.2. Consulte el advisory de Fortinet para obtener más detalles e instrucciones específicas de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-60024 — パス・トラバーサル脆弱性とはFortiVoiceの何ですか？

CVE-2025-60024は、Fortinet FortiVoice 7.0.0～7.2.2に存在するパス・トラバーサル脆弱性で、認証された攻撃者が任意のファイルを書き込める可能性があります。

CVE-2025-60024でFortiVoiceを使用していますが、影響を受けますか？

FortiVoiceのバージョンが7.0.0～7.2.2の場合は、この脆弱性の影響を受けます。最新のセキュリティアドバイザリを確認し、適切な対応を行ってください。

CVE-2025-60024でFortiVoiceを修正するにはどうすればよいですか？

Fortinetが提供する最新の修正プログラムにアップデートすることが最も効果的な解決策です。アップデートが困難な場合は、一時的な緩和策を適用してください。

CVE-2025-60024は現在積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性は悪用が容易であるため、将来的に悪用される可能性はあります。

CVE-2025-60024に関するFortiVoiceの公式アドバイザリはどこで入手できますか？

Fortinetのセキュリティアドバイザリページで、CVE-2025-60024に関する詳細情報を確認できます。