Fortinet FortiSwitch和FortiWeb安全漏洞

CVE编号

CVE-2021-43074

利用情况

暂无

补丁情况

N/A

披露时间

2023-02-17
漏洞描述
Fortinet FortiWeb和FortiSwitch都是美国飞塔(Fortinet)公司的产品。Fortinet FortiWeb是一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。FortiSwitch是一款交换机产品,它最大的优点是可以由防火墙统一管理,在一个窗口下就可以用图形界面管理整个局域网络。
Fortinet FortiWeb 6.4 所有版本、6.3.16 及之前版本版本、6.2 所有版本、6.1 所有版本、6.0 所有版本;FortiOS 7.0.3及之前版本、6.4.8及之前版本、6.2所有版本、6.0所有版本; FortiSwitch 7.0.3及之前版本、6.4.10及之前版本、6.2所有版本、6.0所有版本; FortiProxy 7.0.1 及之前版本、2.0.7 及之前版本、1.2 所有版本、1.1 所有版本、1.0 所有版本存在安全漏洞,该漏洞源于密码签名的不正确验证,攻击者利用该漏洞可以解密部分管理会话管理 cookie。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://fortiguard.com/psirt/FG-IR-21-126
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 fortinet fortiproxy * From
(including)
1.0.0 		Up to
(excluding)
2.0.8
运行在以下环境
应用 fortinet fortiproxy * From
(including)
7.0.0 		Up to
(excluding)
7.0.2
运行在以下环境
应用 fortinet fortiweb * From
(including)
6.0.0 		Up to
(excluding)
6.3.17
运行在以下环境
应用 fortinet fortiweb * From
(including)
6.4.0 		Up to
(excluding)
7.0.0
运行在以下环境
系统 fortinet fortios * From
(including)
6.0.0 		Up to
(excluding)
6.4.9
运行在以下环境
系统 fortinet fortios * From
(including)
7.0.0 		Up to
(excluding)
7.0.4
运行在以下环境
系统 fortinet fortiswitch * From
(including)
6.0.0 		Up to
(excluding)
6.4.11
运行在以下环境
系统 fortinet fortiswitch * From
(including)
7.0.0 		Up to
(excluding)
7.0.4
CVSS3评分
4.3
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
CWE-347 密码学签名的验证不恰当
阿里云安全产品覆盖情况