高危保安警报 (A25-12-06): Fortinet 产品多个漏洞

描述:

Fortinet 发布了安全性更新，以应对数个 Fortinet 产品或元件的多个漏洞。远端攻击者可诱使用户透过含有漏洞的浏览器开启包含特制内容的网页，从而发动攻击。

有报告指 Fortinet 产品的绕过认证漏洞 (CVE-2025-59718 及 CVE-2025-59719) 正受到攻击。系统管理员应立即为受影响的系统安装修补程式，以减低受到网络攻击的风险。

受影响的系统:

• FortiAnalyzer 版本 7.2.0 至 7.2.5、版本 7.4.0 至 7.4.2
• FortiAuthenticator 版本 6.3 (所有版本)、版本 6.4 (所有版本)、版本 6.5 (所有版本)、版本 6.6.0 至 6.6.6
• FortiExtender 版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.7、版本 7.6.0 至 7.6.3
• FortiManager 版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2.0 至 7.2.5、版本 7.4.0 至 7.4.2
• FortiOS 版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.8、版本 7.6.0 至 7.6.3
• FortiPAM 版本 1.0 (所有版本)、版本 1.1 (所有版本)、版本 1.2 (所有版本)、版本 1.3 (所有版本)、版本 1.4 (所有版本)
• FortiPortal 版本 6.0 (所有版本)、版本 7.4.0 至 7.4.5
• FortiProxy 版本 7.0.0 至 7.0.21、版本 7.2.0 至 7.2.14、版本 7.4.0 至 7.4.10、版本 7.6.0 至 7.6.3
• FortiSASE 版本 24.1.b
• FortiSandbox 版本 4.0 (所有版本)、版本 4.2 (所有版本)、版本 4.4.0 至 4.4.7、版本 5.0.0 至 5.0.2
• FortiSOAR on-premise 版本 7.3 (所有版本)、版本 7.4 (所有版本)、版本 7.5.0 至 7.5.1、版本 7.6.0 至 7.6.2
• FortiSOAR PaaS 版本 7.3 (所有版本)、版本 7.4 (所有版本)、版本 7.5.0 至 7.5.1、版本 7.6.0 至 7.6.2
• FortiSRA 版本 1.4 (所有版本)
• FortiSwitchManager 版本 7.0.0 至 7.0.5、版本 7.2.0 至 7.2.6
• FortiVoice 版本 6.0 (所有版本)、版本 6.4 (所有版本)、版本 7.0.0 至 7.0.7、版本 7.2.0 至 7.2.2
• FortiWeb 版本 7.0.0 至 7.0.11、版本 7.2.0 至 7.2.11、版本 7.4.0 至 7.4.10、版本 7.6.0 至 7.6.5、版本 8.0.0 至 8.0.1

有关受影响产品的详细资料，请参阅供应商网站的相应安全公告中有关 “Affected Products” 的部分。

影响:

成功利用漏洞可以导致受影响的系统发生远端执行程式码、服务被拒绝、权限提升、泄漏资讯或绕过保安限制。

建议:

现已有适用于受影响系统的修补程式。受影响系统的系统管理员应遵从供应商的建议，立即採取行动以降低风险。

进一步资讯:

• https://fortiguard.fortinet.com/psirt/FG-IR-24-133
• https://fortiguard.fortinet.com/psirt/FG-IR-24-268
• https://fortiguard.fortinet.com/psirt/FG-IR-25-032
• https://fortiguard.fortinet.com/psirt/FG-IR-25-362
• https://fortiguard.fortinet.com/psirt/FG-IR-25-411
• https://fortiguard.fortinet.com/psirt/FG-IR-25-454
• https://fortiguard.fortinet.com/psirt/FG-IR-25-477
• https://fortiguard.fortinet.com/psirt/FG-IR-25-479
• https://fortiguard.fortinet.com/psirt/FG-IR-25-554
• https://fortiguard.fortinet.com/psirt/FG-IR-25-599
• https://fortiguard.fortinet.com/psirt/FG-IR-25-601
• https://fortiguard.fortinet.com/psirt/FG-IR-25-616
• https://fortiguard.fortinet.com/psirt/FG-IR-25-647
• https://fortiguard.fortinet.com/psirt/FG-IR-25-739
• https://fortiguard.fortinet.com/psirt/FG-IR-25-812
• https://fortiguard.fortinet.com/psirt/FG-IR-25-945
• https://fortiguard.fortinet.com/psirt/FG-IR-25-984
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-40593
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-47570
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53679
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53949
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54353
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54838
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-57823
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59718 (to CVE-2025-59719)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59808
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59810
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59923
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-60024
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-62631
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64153
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64156
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64447
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64471