阿里云漏洞库

漏洞描述

Fortinet FortiOS和Fortinet FortiProxy都是美国飞塔（Fortinet）公司的产品。Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiProxy是一种安全的网络代理，通过结合多种检测技术，如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护，可以保护员工免受网络攻击。FortiProxy有助于减少带宽需求，并通过内容和视频缓存优化网络。

Fortinet FortiOS 和 FortiProxy 存在安全漏洞，该漏洞源于 SSL-VPN 可能允许经过身份验证的攻击者通过 URL 操作获取对其他用户书签的访问权限。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://fortiguard.com/psirt/FG-IR-24-013

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	fortinet	fortiproxy	*	From (including) 7.0.0	Up to (including) 7.0.14
	运行在以下环境
	应用	fortinet	fortiproxy	*	From (including) 7.2.0	Up to (including) 7.2.8
	运行在以下环境
	应用	fortinet	fortiproxy	*	From (including) 7.4.0	Up to (including) 7.4.2
	运行在以下环境
	系统	fortinet	fortios	*	From (including) 6.4.7	Up to (including) 6.4.14
	运行在以下环境
	系统	fortinet	fortios	*	From (including) 7.0.1	Up to (including) 7.0.13
	运行在以下环境
	系统	fortinet	fortios	*	From (including) 7.2.0	Up to (including) 7.2.6
	运行在以下环境
	系统	fortinet	fortios	*	From (including) 7.4.0	Up to (including) 7.4.1

攻击路径

相邻
攻击复杂度

高
权限要求

低
影响范围

已更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-639	通过用户控制密钥绕过授权机制

Fortinet FortiOS 和 FortiProxy 安全漏洞(CVE-2024-23112)

漏洞描述

解决建议

参考链接

受影响软件情况