发布编号：TACERT-ANA-2023092004095151

发布时间：2023-09-20 16:01:51

事故类型：ANA-漏洞预警

发现时间：2023-09-20 16:01:51

影响等级：中

 

[主旨说明:]

【漏洞预警】Fortinet 发布多个产品的安全公告，建议请管理者尽速评估更新！

 

[内容说明:]

转发 中华资安国际 CHTSECURITY-200-202309-00000001

Fortinet 近日发布更新，以解决多个产品的安全性弱点。

FortiOS 和 FortiProxy GUI 中网页生成期间输入跨站点脚本 弱点，可能允许经过身份验证的攻击者通过一般访客管理权限，设置触发恶意 JavaScript 程式码。

FortiWeb 中的保护机制异常，弱点可能允许攻击者绕过 XSS 和 CSRF 保护。

HiNet SOC 建议管理者尽速评估更新，以降低受骇风险。

 

[影响平台:]

● FortiProxy 版本 7.2.0 至 7.2.4

● FortiProxy 版本 7.0.0 至 7.0.10

● FortiOS 版本 7.2.0 至 7.2.4

● FortiOS 版本 7.0.0 至 7.0.11

● FortiOS 版本 6.4.0 至 6.4.12

● FortiOS 版本 6.2.0至6.2.14

● FortiWeb 版本 7.2.0 至 7.2.1

● FortiWeb 版本 7.0.0 至 7.0.6

● FortiWeb 6.4 所有版本

● FortiWeb 6.3 所有版本

 

[建议措施:]

请参考 Fortinet官方网站的说明并更新至建议版本：

    (1)FortiProxy 版本 7.2.5 (含)之后版本

    (2)FortiProxy 版本 7.0.11 (含)之后版本

    (3)FortiOS 版本 7.4.0 (含)之后版本

    (4)FortiOS 版本 7.2.5 (含)之后版本

    (5)FortiOS 版本7.0.12 (含)之后版本

    (6)FortiOS 版本 6.4.13 (含)之后版本

    (7)FortiOS 版本 6.2.15 (含)之后版本

    (8)FortiWeb 版本  

[参考资料:]

1. https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products

2. https://www.fortiguard.com/psirt/FG-IR-23-106

3. https://www.fortiguard.com/psirt/FG-IR-23-068

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw