点击蓝字 关注我们

Fortinet FortiOS和Fortinet FortiProxy都是美国飞塔（Fortinet）公司的产品。Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理，通过结合多种检测技术，如Web过滤、DNS过滤、DLP、反病毒、入侵防御等保护用户免受网络攻击。

FortiOS和FortiProxy中存在一个身份认证绕过漏洞。未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求利用该漏洞，进而获得超级管理员权限。

FortiOS 7.0.0版本-7.0.16版本，FortiProxy 7.2.0版本-7.2.12版本，FortiProxy 7.0.0版本-7.0.19版本均受漏洞影响。

目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接如下：

https://fortiguard.fortinet.com/psirt/FG-IR-24-535

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、浪潮电子信息产业股份有限公司、锐捷网络股份有限公司、中孚安全技术有限公司、北京神州绿盟科技有限公司、西安交大捷普网络科技有限公司、深信服科技股份有限公司、中国电信股份有限公司网络安全产品运营中心、山西轩辕信息安全技术有限公司、贵州粟詈网络科技有限公司、京铁云智慧物流科技有限公司、北京国科数安科技有限公司、北京门石信息技术有限公司、沥泉科技（成都）有限公司、北京时代新威信息技术有限公司、杭州安恒信息技术股份有限公司、广州非凡信息安全技术有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: [email protected]