Un exploit est disponible pour cette nouvelle faille critique dans Fortinet FortiSIEM : CVE-2025-64155
Une faille de sécurité critique (CVE-2025-64155) a été découverte dans la solution FortiSIEM de Fortinet. Un exploit PoC est même déjà disponible. Quels sont les risques ? Comment se protéger ? Voici ce que vous devez savoir.
Mardi 13 janvier 2026, Fortinet a publié un nouveau bulletin de sécurité au sujet de la CVE-2025-64155. Derrière cette référence CVE se cache une faille de sécurité critique découverte dans FortiSIEM. En l’exploitant, un attaquant distant non authentifié peut exécuter des commandes à distance via des requêtes TCP spécialement conçues pour exploiter cette vulnérabilité.
Cette vulnérabilité a été découverte par les chercheurs de chez Horizon3.ai qui ont d’ailleurs publié un rapport technique complet au sujet de cette nouvelle faiblesse. Il permet d’apprendre que la découverte de la CVE-2025-25256 en août 2025 a permis de découvrir la CVE-2025-64155 par la suite.
“En août 2025, Fortinet a publié un avis concernant CVE-2025-25256, une vulnérabilité d’injection de commande qui affectait l’appareil FortiSIEM. Après l’avis publié en août, nous avons décidé de nous plonger dans le sujet et d’évaluer la situation.“, peut-on lire.
Dans le cadre de ces travaux menés sur le second semestre 2025, les chercheurs d’Horizon3.ai ont fait la découverte de deux faiblesses supplémentaires :
- Une vulnérabilité d’injection d’argument entraînant l’écriture arbitraire de fichiers et permettant l’exécution de code à distance en tant qu’utilisateur administrateur, sans authentification préalable.
- Une vulnérabilité d’escalade de privilèges par écrasement de fichier permettant d’obtenir un accès root.
C’est ce qui a donné lieu à la CVE-2025-64155 et à ce nouveau patch de sécurité publié par Fortinet. Ce problème de sécurité se situe au niveau du service phMonitor de FortiSIEM : il expose des dizaines de gestionnaires de commandes accessibles sans authentification.
Comment se protéger de la CVE-2025-64155 ?
Le tableau ci-dessous montre que plusieurs branches de versions de FortiSIEM sont affectées par cette CVE, tandis que FortiSIEM Cloud est épargné.
| Version | Versions affectées | Solution |
|---|---|---|
| FortiSIEM Cloud | Non affecté | – |
| FortiSIEM 7.5 | Non affecté | – |
| FortiSIEM 7.4 | 7.4.0 | Version 7.4.1 ou supérieure |
| FortiSIEM 7.3 | 7.3.0 à 7.3.4 | Version 7.3.5 ou supérieure |
| FortiSIEM 7.2 | 7.2.0 à 7.2.6 | Version 7.2.7 ou supérieure |
| FortiSIEM 7.1 | 7.1.0 à 7.1.8 | Version 7.1.9 ou supérieure |
| FortiSIEM 7.0 | 7.0.0 à 7.0.4 | Migration vers une version supérieure |
| FortiSIEM 6.7 | 6.7.0 à 6.7.10 | Migration vers une version supérieure |
Dans le cas où l’installation du correctif n’est pas possible, une mesure d’atténuation est disponible : limiter l’accès au port phMonitor, soit le port 7900. Enfin, au-delà du rapport technique, il faut savoir que Horizon3.ai a également publié un exploit PoC sur GitHub pour la CVE-2025-64155.
Image d’illustration générée par IA.