DESCRIPTION / CVE-2025-59922– Publié le 13/01/2026
La vulnérabilité CVE-2025-59922 est une vulnérabilité critique de type « Injection SQL » (neutralisation incorrecte d’éléments spéciaux dans une commande SQL) (CWE-89). Elle a reçu un score de 7,2/10 sur l’échelle CVSS, indiquant un niveau de sévérité HAUT.
Cette faille est liée à une faiblesse dans FortiClientEMS (Endpoint Management Server)
Cette vulnérabilité peut permettre à un attaquant authentifié avec au minimum des droits d’administrateur en lecture seule d’injecter et d’exécuter des commandes SQL non autorisées via des requêtes HTTP/HTTPS spécialement forgées adressées à l’interface vulnérable.
Mécanisme d’exploitation
La faille repose sur cinq points :
| Exposition de l’interface vulnérable : L’interface web/API du service de gestion FortiClientEMS, accessible sur le réseau via HTTP/HTTPS, accepte des requêtes en provenance d’utilisateurs authentifiés avec des privilèges administratifs au moins en lecture seule. | Insuffisance de neutralisation des entrées : Les requêtes traitées par le service ne neutralisent pas correctement des éléments spéciaux dans les paramètres SQL, ce qui permet de manipuler des requêtes destinées à la base de données. |
| Injection de commandes SQL : Un attaquant authentifié envoie des requêtes HTTP/HTTPS spécialement construites contenant des charges malveillantes. Les paramètres SQL ne sont pas suffisamment filtrés ou échappés, permettant de modifier la logique des requêtes. | Exécution non autorisée : Les commandes SQL injectées s’exécutent dans le contexte de la base de données de FortiClientEMS, permettant potentiellement la lecture, la modification ou la suppression de données sensibles, voire l’exécution de commandes non prévues par les développeurs. |
| Impact sur la sécurité globale : L’exploitation peut compromettre la confidentialité, l’intégrité et la disponibilité des données gérées par FortiClientEMS ainsi que la configuration des endpoints. |
CORRECTIFS ET RECOMMANDATIONS
| Versions affectées FortiClientEMS -> 7.2.0 et 7.2.10 FortiClientEMS -> 7.4.0 et 7.4.1 FortiClientEMS -> 7.4.3 et 7.4.4 |
| Application des correctifs Appliquer immédiatement les mises à jour ou correctifs fournis par Fortinet. |
| Restriction d’accès aux interfaces Limiter l’accès réseau à l’interface de gestion FortiClientEMS (accès restreint via VPN ou segmentation réseau) |
| Renforcement des authentifications S’assurer que seuls des comptes administrateurs légitimes accèdent aux interfaces de gestion, renforcer les mots de passe et utiliser une authentification multi-facteurs (MFA). |
| Surveillance des modifications Mettre en place une surveillance accrue des journaux d’accès pour détecter des requêtes HTTP/HTTPS suspectes ou des commandes SQL anormales. |
| Principes de moindre privilège Éviter de donner des accès d’administration même en lecture seule à des comptes inutiles. Appliquer le principe du moindre privilège dans l’organisation. |
CONCLUSION ET PERSPECTIVES
La vulnérabilité CVE-2025-59922 illustre qu’un défaut de validation d’entrée, même sur une interface interne ou réservée aux administrateurs, peut conduire à des injections SQL graves affectant la sécurité globale d’un système de gestion des endpoints.
Cette vulnérabilité rappelle l’importance de :
- Valider et neutraliser correctement toutes les entrées utilisateurs côté serveur
- Maintenir les logiciels à jour avec les derniers correctifs de sécurité
- Restreindre fortement l’accès aux interfaces d’administration, même aux utilisateurs privilégiés.
Sources
CVE : https://www.cve.org/CVERecord?id=CVE-2025-59922
CVE Détails : https://www.cvedetails.com/cve/CVE-2025-59922/
CWE : https://cwe.mitre.org/data/definitions/89.html
CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0035/
NIST : https://nvd.nist.gov/vuln/detail/CVE-2025-59922
FortiGuard : https://www.fortiguard.com/psirt/FG-IR-25-735
E-santé : https://cyberveille.esante.gouv.fr/alertes/fortinet-cve-2025-59922-2026-01-15