弱點通告:Fortinet 發布多個產品的安全公告,建議請管理者儘速評估更新!
2026-07-17
風險等級: 高度威脅
摘  要: 弱點通告:Fortinet 發布多個產品的安全公告,建議請管理者儘速評估更新!
影響系統:
  • FortiSandbox 4.4.8 (含)之前版本
  • FortiSandbox 5.0.2 (含)之前版本
  • FortiOS 7.6.6 (含)之前版本
  • FortiPAM 1.8.2 (含)之前版本
  • FortiProxy 7.6.5 (含)之前版本
  • FortiAuthenticator 6.6.2 (含)之前版本
  • FortiAuthenticator 6.5.7 (含)之前版本
  • 解決辦法: 請參考 Fortinet官方網站的說明並更新至建議版本: (1) FortiSandbox 4.4.9 (含)之後版本 (2) FortiSandbox 5.0.3 (含)之後版本 (3) FortiOS 7.6.7 (含)之後版本 (4) FortiPAM 1.8.3 (含)之後版本 (5) FortiProxy 7.6.6 (含)之後版本 (6) FortiAuthenticator 6.6.3 (含)之後版本 (7) FortiAuthenticator 6.5.8 (含)之後版本
    細節描述: Fortinet 近日發布更新,以解決多個產品 FortiSandbox、FortiOS、FortiProxy、FortiPAM、FortiSASE及FortiAuthenticator 的安全性弱點。

    CVE-2026-59835:CVSS 7.7
    FortiSandbox 存在資源領域驗證弱點。該弱點可能允許未經身份驗證的攻擊者,透過網路請求存取執行掃描的虛擬機器的 VNC 伺服器情況。

    CVE-2025-53379:CVSS 7.0
    FortiAuthenticator 存在越界讀取弱點。該弱點可能允許遠端未經身份驗證的攻擊者,透過偽造請求取得機敏資訊情況。

    CVE-2026-23573:CVSS 6.1
    FortiOS、FortiProxy、FortiPAM、FortiSwitch-Manager 其中無終端 SSL-VPN 存在跨站腳本弱點。該弱點可能允許經過驗證的遠端使用者,透過偽造請求執行程式碼或命令情況。

    CVE-2026-59837:CVSS 5.9
    FortiOS、FortiProxy、FortiPAM 存在堆疊緩衝區溢位弱點。該弱點可能允許具有特權的已認證攻擊者繞過堆疊保護和 ASLR,並透過偽造 HTTP 請求執行任意程式碼或指令情況。

    CVE-2026-59839:CVSS 5.0
    FortiOS、FortiPAM、FortiProxy、FortiSwitch Manager 存在路徑遍歷弱點。該弱點可能允許具有設備物理存取權限的特權認證攻擊者,透過偽造 CLI 指令執行刪除檔案系統情況。

    CVE-2026-59840:CVSS 4.1、CVE-2025-43892:CVSS 4.1
    FortiOS、FortiProxy、FortiSASE 存在緩衝區溢位弱點。該弱點可能允許經過驗證的遠端攻擊者,透過提交偽造請求,在重定向回應中傳回裝置記憶體的一部分,進而造成緩衝區溢位情況。

    HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
    https://hisecure.hinet.net/secureinfo/hotnews.php
    參考資訊: iThome
    Fortinet (psirt)