聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号是CVE-2023-45590,CVSS评分为9.4。Fortinet 公司在一份安全公告中提到,“FortiClientLinux 中存在一个代码注入漏洞,可导致未认证攻击者通过诱骗用户访问恶意网站的方式,执行任意代码。”
该漏洞被指为因“危险nodejs配置”而引发的远程代码执行漏洞,影响如下版本:
-
FortiClientLinux 版本7.0.3至70.4以及7.0.6至7.0.10(更新至7.0.11或更高版本)
-
FortiClientLinux 版本7.2.0(更新至7.2.1或更高版本)
Dbappsecurity 公司的安全研究员 CataLpa 发现并报送了该漏洞。
Fortinet 公司在4月发布的本次补丁还修复了 FortiClientMac 安装程序中的一个可导致代码执行后果的漏洞(CVE-2023-45588和CVE-2024-31492,CVSS评分7.8)。另外还修复了一个 FortiOS 和 FortiProxy 漏洞,它可在某些情况下泄露管理员 cookie(CVE-2023-41677,CVSS评分7.5)。
虽然并未有证明表明这些漏洞已遭在野利用,但建议用户更新系统,缓解潜在威胁。
原文始发于微信公众号(代码卫士):Fortinet 修复严重的 FortiClientLinux 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论