Fortinet发布多款产品安全更新,修复高危漏洞

Fortinet近日发布安全更新,修复了FortiOS、FortiPAM和FortiSwitch Manager等多个产品中的高危漏洞。这些漏洞可能被攻击者利用来执行未经授权的系统命令或进行暴力破解攻击,建议管理员尽快安装更新以确保系统安全。

Fortinet发布安全更新修复多个产品漏洞

在最近的补丁日,除了微软和Adobe等常见厂商外,Fortinet也准时发布了一系列针对不同产品的安全公告和更新。

当前的安全公告提到了多个已修复的漏洞。被评定为"高危"级别的漏洞涉及FortiOS、FortiPAM、FortiSwitch Manager、FortiDLP、Fortilsolator以及FortiClient Mac。此外还包括FortiAnalyzer、FortiProxy、FortiManager Cloud、FortiMail和FortiSRA等产品中的"中危"和"低危"漏洞。

考虑到该厂商的IT安全解决方案在近期多次成为传播中的漏洞利用代码的目标,管理员应尽快采取行动。不过截至目前,尚未发现针对当前漏洞的利用代码。

未经授权访问变得容易

本地已认证的攻击者可能滥用漏洞CVE-2025-58325(“受限CLI命令绕过”;CVSS评分7.8)来未经授权执行系统命令。该漏洞影响整个6.4版本的FortiOS、7.0.0至7.0.15版本、7.2.0至7.2.10版本和7.4.0至7.4.5版本(均包括最后提到的版本)以及7.6.0版本。升级到相应更高版本或从6.4切换到当前已修复的版本可以解决问题。

弱认证机制是CVE-2025-49201(CVSS 7.4)的根源,据Fortinet称,此漏洞便于进行暴力攻击。此外,从国家漏洞数据库(NVD)可以得知,在这种情况下也有可能通过特定的HTTP请求执行恶意代码或命令。多个FortiPAM版本系列(除1.6和1.7外)以及FortiSwitch Manager 7.2.0至7.2.4(包括)均受影响。

关于所有易受攻击和已修复版本的详细信息,请参阅以下公告:

  • FortiOS:关于CVE-2025-58325的公告 / NVD条目
  • FortiPAM & FortiSwitch Manager:关于CVE-2025-49201的公告 / NVD条目

其他"高危"评级

对于其他被评为"高危"的安全漏洞,也有同样重要的更新,但在此详细说明会超出范围。以下公告提供了关于易受攻击和已修复版本的信息:

  • FortiDLP:
    • CVE-2025-54988(XML外部实体注入,8.0)
    • CVE-2025-53951 / CVE-2025-54658(权限提升,7.2)
  • Fortilsolator:CVE-2025-33507(通过特制cookie获得写入权限,7.0)
  • Forticlient Mac:CVE-2025-57741(本地权限提升,7.0)

所有漏洞概览

Fortinet的概览页面提供了包括较低风险评级漏洞的概述,以及按日期、产品和严重程度等详细筛选选项。

// 更新于10月15日18:36:补充了其他"高危"评级的安全漏洞 + 简要列表(倒数第二段)。感谢提示!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次