摘要
FortiSOAR中存在一个不当的访问控制漏洞(CWE-284),可能允许经过身份验证的攻击者通过精心构造的请求导致信息泄露。
受影响版本及解决方案
| 产品 | 受影响版本 | 解决方案 |
|---|---|---|
| FortiSOAR PaaS 7.6 | 7.6.0 至 7.6.2 | 升级至 7.6.3 或更高版本 |
| FortiSOAR PaaS 7.5 | 7.5.0 至 7.5.1 | 升级至 7.5.2 或更高版本 |
| FortiSOAR PaaS 7.4 | 7.4 所有版本 | 迁移至已修复的版本 |
| FortiSOAR PaaS 7.3 | 7.3 所有版本 | 迁移至已修复的版本 |
| FortiSOAR 本地部署 7.6 | 7.6.0 至 7.6.2 | 升级至 7.6.3 或更高版本 |
| FortiSOAR 本地部署 7.5 | 7.5.0 至 7.5.1 | 升级至 7.5.2 或更高版本 |
| FortiSOAR 本地部署 7.4 | 7.4 所有版本 | 迁移至已修复的版本 |
| FortiSOAR 本地部署 7.3 | 7.3 所有版本 | 迁移至已修复的版本 |
致谢
由 Fortinet PSIRT 团队的 Shripal Rawal 内部发现并报告。
时间线
- 2025年12月09日:首次发布
其他信息
- IR编号: FG-IR-25-601
- 发布日期: 2025年12月9日
- 组件: OTHERS
- 严重性: 中
- CVSSv3 分数: 6.2
- 影响: 信息泄露
- CVE ID: CVE-2025-59810
- 下载: CVRF, CSAF