Fortinet 修复两项严重漏洞

重点内容

Fortinet 于周四修复了其 FortiNAC 和 FortiWeb产品中的两项严重漏洞，如果被攻击者利用，可能允许未经过身份验证的攻击者通过精心构造的 HTTP 请求执行未授权的代码或命令。

这两项漏洞均被评为严重，FortiNAC 漏洞 — — 被评为 9.8，影响的版本包括 9.4.0；9.2.0 至
9.2.5；9.1.0 至 9.1.7；8.8.0 至 8.8.11；8.7.0 至 8.7.6；8.6.0 至 8.6.5；8.5.0 至
8.5.4；以及 8.3.7。

而 FortiWeb 漏洞 — — 被报告为在 FortiWeb 5.x所有版本中的代理守护进程存在多个堆栈缓冲区溢出漏洞；6.0.7 及以下版本；6.1.2 及以下版本；6.2.6 及以下版本；6.3.16 及以下版本；以及
6.4。

Fortinet 鼓励用户按照其安全通告中关于和
产品的说明进行升级。

Vulcan Cyber 的高级技术工程师 Mike Parkin 表示，虽然关于这两项问题的细节不多，但 Fortinet已经发布了更新版本来解决这些漏洞。

Parkin 说道：“一如既往，尤其是在安全产品方面，按照行业最佳实践进行部署并保持补丁更新只是起点。”

当被问及 FortiWeb 漏洞为何追溯至 2021 年时，Parkin 说他希望知道这一延迟的原因。

他表示：“我们都看到 CVE 编号与实际发布之间存在长时间的延迟。如果能够更清晰地说明延迟原因，那将是很好的。”

Fortinet 的发言人表示，FortiWeb 漏洞是内部发现的，并在其 2 月的安全通告中作为产品安全事件响应政策的一部分发布。