關于Fortinet FortiOS和FortiProxy安全漏洞的通報
時間 :2025-01-20點擊 :272來源 :
近日,收到關于Fortinet FortiOS和FortiProxy安全漏洞(CNNVD-202501-1747、CVE-2024-55591)情況的報送。未經身份驗證的遠程攻擊者可以通過向Node.js websocket模塊發送特制請求,進而獲得超級管理員權限。FortiOS和FortiProxy多個版本均受此漏洞影響。目前,Fortinet官方已發布新版本修復了漏洞,建議用戶及時確認產品版本,盡快采取修補措施。
一漏洞介紹
一漏洞介紹
Fortinet FortiOS和Fortinet FortiProxy都是美國飛塔(Fortinet)公司的產品。Fortinet FortiOS是一套專用于FortiGate網絡安全平臺上的安全操作系統。Fortinet FortiProxy是一種安全的網絡代理,通過結合多種檢測技術,如Web過濾、DNS過濾、DLP、反病毒、入侵防御等保護用戶免受網絡攻擊。
FortiOS和FortiProxy中存在一個身份認證繞過漏洞。未經身份驗證的遠程攻擊者可以通過向Node.js websocket模塊發送特制請求利用該漏洞,進而獲得超級管理員權限。
二危害影響
FortiOS 7.0.0版本-7.0.16版本,FortiProxy 7.2.0版本-7.2.12版本,FortiProxy 7.0.0版本-7.0.19版本均受漏洞影響。
三修復建議
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
