知名网络安全解决方案提供商 SonicWall 近日披露了其 SonicOS 防火墙操作系统 SSL VPN 接口中存在的一个高危漏洞(CVE-2025-40600)。该漏洞 CVSS 评分为 7.5 分,一旦被利用可能导致严重的远程服务中断风险。
CVE-2025-40600 被归类为"外部可控格式化字符串漏洞",当用户可控输入被不安全地嵌入格式化字符串时就会触发此漏洞。攻击者可通过 SSL VPN 接口发起拒绝服务(DoS)攻击,在关键时刻导致安全基础设施瘫痪。
安全公告明确指出:"SonicOS SSL VPN 接口中存在的外部可控格式化字符串漏洞,允许未经身份验证的远程攻击者造成服务中断。"
此类漏洞在防火墙等边界设备中尤为危险,因为这些设备通常是企业网络的第一道防线。
该漏洞主要影响第七代 SonicWall 防火墙设备,包括硬件和虚拟版本。受影响产品线包括:
所有受影响设备均运行 SonicOS 7.2.0-7015 及更早版本。
SonicWall 已在 7.3.0-7012 及更高版本中发布了修复该漏洞的补丁。强烈建议用户和管理员尽快应用更新,以降低潜在攻击风险。
