國(guó)家漏洞庫(kù)CNNVD:關(guān)于Fortinet FortiOS安全漏洞情況的通報(bào)
2022年10月11日
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Fortinet FortiOS 安全漏洞(CNNVD-202210-347��、CVE-2022-40684)情況的報(bào)送�����。成功利用漏洞的攻擊者��,可在未經(jīng)身份驗(yàn)證的情況下獲得對(duì)管理界面的訪問(wèn)權(quán)限���,從而最終控制目標(biāo)系統(tǒng)����。Fortinet FortiOS 7.0.0版至7.0.6版��、7.2.0版至7.2.1版�����、FortiProxy 7.0.0版至7.0.6版��、7.2.0版本等多個(gè)版本均受此漏洞影響����。目前����,F(xiàn)ortinet官方已發(fā)布升級(jí)補(bǔ)丁修復(fù)了該漏洞��,建議用戶及時(shí)確認(rèn)產(chǎn)品版本����,盡快采取修補(bǔ)措施。
一�、漏洞介紹
Fortinet FortiOS是美國(guó)飛塔(Fortinet)公司的一套專用于FortiGate網(wǎng)絡(luò)安全平臺(tái)上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻���、防病毒�����、IPSec/SSLVPN�����、Web內(nèi)容過(guò)濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在安全漏洞���,該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者獲得對(duì)管理界面的訪問(wèn)權(quán)限��,并通過(guò)特制的HTTP或HTTPS請(qǐng)求執(zhí)行任意操作�,從而最終控制目標(biāo)系統(tǒng)。
二�、危害影響
成功利用漏洞的攻擊者,可在未經(jīng)身份驗(yàn)證的情況下獲得對(duì)管理界面的訪問(wèn)權(quán)限���,從而最終控制目標(biāo)系統(tǒng)����。Fortinet FortiOS 7.0.0版至7.0.6版�����、7.2.0版至7.2.1版����、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多個(gè)版本均受此漏洞影響�����。
三����、修復(fù)建議
目前���,F(xiàn)ortinet官方已發(fā)布升級(jí)補(bǔ)丁修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本��,盡快采取修補(bǔ)措施����。官方補(bǔ)丁鏈接如下:
https://docs.fortinet.com/product/fortigate/7.2
本通報(bào)由CNNVD技術(shù)支撐單位——深圳融安網(wǎng)絡(luò)科技有限公司、北京數(shù)字觀星科技有限公司��、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司���、北京華順信安科技有限公司等技術(shù)支撐單位提供支持�����。
文章來(lái)源:CNNVD安全動(dòng)態(tài)
