漏洞更新 - FortiSwitch 產品存在漏洞
FortiSwitch 產品存在漏洞
一、摘要
Fortinet 近日發布安全更新,其修補FortiSwitch GUI 中存在的漏洞,該漏洞是一個未經驗證的密碼變更漏洞(CWE-620),可能允許遠端未經身份驗證的攻擊者透過特製請求修改管理員密碼。
二、存在風險
Fortinet 近日發布安全更新,其修補FortiSwitch GUI 中存在的漏洞,該漏洞是一個未經驗證的密碼變更漏洞(CWE-620),可能允許遠端未經身份驗證的攻擊者透過特製請求修改管理員密碼,其影響系統或版本如下:
- 受影響之系統/漏洞描述:
- Unverified password change via set_password endpoint
- CVE編號: CVE-2024-48887
- 漏洞描述:在FortiSwitch GUI 中存在一個漏洞,該漏洞是一個未經驗證的密碼變更漏洞(CWE-620),可能允許遠端未經身份驗證的攻擊者透過特製請求修改管理員密碼。
- 影響系統/版本:
- FortiSwitch 7.6.0
- FortiSwitch version 7.4.0 through 7.4.4
- FortiSwitch version 7.2.0 through 7.2.8
- FortiSwitch version 7.0.0 through 7.0.10
- FortiSwitch version 6.4.0 through 6.4.14
三、建議改善措施:
企業及使用者如有上述漏洞版本應儘速更新:
- 請將 FortiSwitch 7.6.0 更新至 7.6.1 或更高版本。
- 請將 FortiSwitch version 7.4.0 through 7.4.4 更新至 7.4.5 或更高版本。
- 請將 FortiSwitch version 7.2.0 through 7.2.8 更新至 7.2.9 或更高版本。
- 請將 FortiSwitch version 7.0.0 through 7.0.10 更新至 7.0.11 或更高版本。
- 請將 FortiSwitch version 6.4.0 through 6.4.14 更新至 6.4.15 或更高版本。
- 避免將設備對外開放,如需對外開放請採用白名單,於trusted hosts中限定特定來源存取。