关注我们
带你读懂网络安全
近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684)情况的报送。成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS存在安全漏洞,该漏洞允许未经身份验证的攻击者获得对管理界面的访问权限,并通过特制的HTTP或HTTPS请求执行任意操作,从而最终控制目标系统。
二、危害影响
成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。
三、修复建议
目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方补丁链接如下:
https://docs.fortinet.com/product/fortigate/7.2
本通报由CNNVD技术支撑单位——深圳融安网络科技有限公司、北京数字观星科技有限公司、奇安信网神信息技术(北京)股份有限公司、北京华顺信安科技有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: [email protected]
推荐阅读
文章来源:CNNVD安全动态
原文始发于微信公众号(安全内参):国家漏洞库CNNVD:关于Fortinet FortiOS安全漏洞情况的通报
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论