漏洞更新 - FortiSwitch 產品存在漏洞

                                                                                                                                                                                                                                                     


FortiSwitch 產品存在漏洞

一、摘要

        Fortinet 近日發布安全更新,其修補FortiSwitch GUI 中存在的漏洞,該漏洞是一個未經驗證的密碼變更漏洞(CWE-620),可能允許遠端未經身份驗證的攻擊者透過特製請求修改管理員密碼。

、存在風險

        Fortinet 近日發布安全更新,其修補FortiSwitch GUI 中存在的漏洞,該漏洞是一個未經驗證的密碼變更漏洞(CWE-620),可能允許遠端未經身份驗證的攻擊者透過特製請求修改管理員密碼,其影響系統或版本如下

  • 受影響之系統/漏洞描述
    • Unverified password change via set_password endpoint
      • CVE編號 CVE-2024-48887
      • 漏洞描述:在FortiSwitch GUI 中存在一個漏洞,該漏洞是一個未經驗證的密碼變更漏洞(CWE-620),可能允許遠端未經身份驗證的攻擊者透過特製請求修改管理員密碼
      • 影響系統/版本
        • FortiSwitch 7.6.0
        • FortiSwitch version 7.4.0 through 7.4.4
        • FortiSwitch version 7.2.0 through 7.2.8
        • FortiSwitch version 7.0.0 through 7.0.10
        • FortiSwitch version 6.4.0 through 6.4.14

三、建議改善措施:

           企業及使用者如有上述漏洞版本應儘速更新:

  • 請將 FortiSwitch 7.6.0 更新至 7.6.1 或更高版本。
  • 請將 FortiSwitch version 7.4.0 through 7.4.4 更新至 7.4.5 或更高版本。
  • 請將 FortiSwitch version 7.2.0 through 7.2.8 更新至 7.2.9 或更高版本。
  • 請將 FortiSwitch version 7.0.0 through 7.0.10 更新至 7.0.11 或更高版本。
  • 請將 FortiSwitch version 6.4.0 through 6.4.14 更新至 6.4.15 或更高版本。
  • 避免將設備對外開放,如需對外開放請採用白名單,於trusted hosts中限定特定來源存取。

       情資報告連結:https://fortiguard.fortinet.com/psirt/FG-IR-24-435

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->