| 風險等級: |
高度威脅 |
| 摘 要: |
弱點通告:Fortinet發布FortiOS、FortiProxy的安全公告,建議請管理者儘速評估更新! |
| 影響系統: |
FortiOS 7.0.0 到 7.0.16 版本FortiProxy 7.2.0 到 7.2.12 版本FortiProxy 7.0.0 到 7.0.19 版本 |
| 解決辦法: |
請參考 Fortinet 官方網站的說明和處理建議:
https://www.fortiguard.com/psirt
(1) FortiOS 7.0.17(含)之後版本
(2) FortiProxy 7.2.13(含)之後版本
(3) FortiProxy 7.0.20(含)之後版本 |
| 細節描述: |
Fortinet防火牆身分驗證漏洞CVE-2024-55591於今年1月發現,而今CVE-2025-24472發現可與CVE-2024-55591串連,來取得初始入侵管道。
CVE-2024-55591:CVSS 9.6
該漏洞可能允許攻擊者繞過身份驗證取得超級管理員權限。臨時解決方案包括關閉管理員存取功能及限制來源 IP,並密切關注記錄中的可疑操作與來源 IP。
攻擊者可能利用此弱點,繞過 Node.js WebSocket 模組發送特別設計的請求,獲得超級管理員權限。
CVE-2025-24472:CVSS 8.7
使用備用路徑或通道漏洞 [CWE-288] 繞過身份驗證會影響 FortiOS、FortiProxy,可能允許遠端攻擊者透過精心設計的 CSF 代理請求獲得超級管理員權限。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
ithome
ithome
Fortinet
|
| |
