Uma limitação inadequada de um nome de caminho para um diretório restrito ('Path Traversal') [CWE-22] na funcionalidade Outlookproxy do agente Fortinet FortiDLP para MacOS 11.5.1 e 11.4.2 até 11.4.6 e 11.3.2 até 11.3.4 e 11.2.0 até 11.2.3 e 11.1.1 até 11.1.2 e 11.0.1 e 10.5.1 e 10.4.0, e 10.3.1 pode permitir que um atacante autenticado eleve seus privilégios para Root enviando uma solicitação elaborada para uma porta de escuta local.

A exploração bem-sucedida desta vulnerabilidade permite a um atacante obter acesso de Root ao sistema MacOS onde o FortiDLP Agent está instalado. Isso significa que o atacante pode executar comandos arbitrários, instalar malware, acessar dados confidenciais e, potencialmente, comprometer outros sistemas na rede. O impacto é severo, pois a escalada de privilégios para Root concede controle total sobre o sistema afetado. A natureza local da exploração, através de uma requisição direcionada a uma porta de escuta, pode simplificar o processo para um atacante já presente na rede ou com acesso ao sistema.

Organizations deploying FortiDLP Agent for MacOS, particularly those with sensitive data or critical infrastructure, are at risk. Shared hosting environments where multiple users share the same FortiDLP Agent instance are also particularly vulnerable, as a compromised user account could be leveraged to escalate privileges and impact other users.

• macos: Use ls -la /path/to/plugin/ to check for suspicious files or directories created by an attacker. • macos: Monitor system logs (Console.app) for unusual network activity or attempts to access restricted directories. • fortinet: Review Fortinet's security advisories and threat intelligence feeds for updates related to this vulnerability. • macos: Use sudo dtrace -n 'trace('process_open', filter=/path/to/plugin/)' to monitor file access attempts to the plugin directory.

1. 2025-10-16Disclosure

   disclosure

1. Reservado2025-07-28
2. Publicada2025-10-16
3. Modificada2026-01-14
4. EPSS atualizado2026-03-23

A mitigação primária para CVE-2025-54658 é a atualização imediata para a versão 11.5.2 ou superior do FortiDLP Agent. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à porta de escuta utilizada pelo Outlookproxy plugin. Implementar regras de firewall para limitar o tráfego de rede para essa porta pode ajudar a reduzir a superfície de ataque. Monitore logs de sistema em busca de atividades suspeitas relacionadas ao plugin Outlookproxy. Após a atualização, confirme a correção verificando a versão do FortiDLP Agent e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente corrigida.