保安警報 (A25-10-14): Fortinet 產品多個漏洞

描述:

Fortinet 發布了安全公告，以應對數個 Fortinet 產品或元件的多個漏洞。遠端攻擊者可誘使用戶透過含有漏洞的瀏覽器開啟包含特製內容的網頁，從而發動攻擊。

受影響的系統:

• FortiOS 版本 6.0 (所有版本)、版本 6.2 (所有版本)、版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.8、版本 7.6.0 至 7.6.3
• FortiProxy 版本 1.0 (所有版本)、版本 1.1 (所有版本)、版本 1.2 (所有版本)、版本 2.0 (所有版本)、版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4 (所有版本)、版本 7.6.0 至 7.6.3
• FortiManager 版本 6.0 (所有版本)、版本 6.2 (所有版本)、版本 6.4 (所有版本)、版本 7.0.0 至 7.0.13、版本 7.2.0 至 7.2.9、版本 7.4.1 至 7.4.5、版本 7.6.0 至 7.6.1
• FortiManager Cloud 版本 6.4 (所有版本)、版本 7.0.1 至 7.0.13、版本 7.2.1 至 7.2.8、版本 7.4.1 至 7.4.5、版本 7.6.2
• FortiAnalyzer 版本 6.0 (所有版本)、版本 6.2 (所有版本)、版本 6.4 (所有版本)、版本 7.0.0 至 7.0.13、版本 7.2.0 至 7.2.8、版本 7.4.0 至 7.4.5、版本 7.6.0 至 7.6.2
• FortiAnalyzer Cloud 版本 6.4 (所有版本)、版本 7.0.1 至 7.0.13、版本 7.2.1 至 7.2.8、版本 7.4.1 至 7.4.5
• FortiMail 版本 7.0 (所有版本)、版本 7.2.0 至 7.2.6、版本 7.4.0 至 7.4.2
• FortiNDR 版本 1.5 (所有版本)、版本 7.0 (所有版本)、版本 7.1 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.8、版本 7.6.0 至 7.6.1
• FortiPAM 版本 1.0 (所有版本)、版本 1.1 (所有版本)、版本 1.2 (所有版本)、版本 1.3 (所有版本)、版本 1.4.0 至 1.4.2、版本 1.5.0
• FortiRecorder 版本 7.0.0 至 7.0.4、版本 7.2.0 至 7.2.1
• FortiSASE 版本 24.3.a、版本 25.3.a
• FortiSRA 版本 1.4.0 至 1.4.2、版本 1.5.0
• FortiSwitchManager 版本 7.0.0 至 7.0.3、版本 7.2.0 至 7.2.5
• FortiTester 版本 4.2 (所有版本)、版本 7.0 (所有版本)、版本 7.1 (所有版本)、版本 7.2 (所有版本)、版本 7.3 (所有版本)、版本 7.4.0 至 7.4.2
• FortiVoice 版本 6.0.7 至 6.0.12、版本 6.4.0 至 6.4.9、版本 7.0.0 至 7.0.4
• FortiWeb 版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.4、版本 7.6.0
• FortiClientMac 版本 7.0 (所有版本)、版本 7.2.0 至 7.2.11、版本 7.4.0 至 7.4.3
• FortiClientWindows 版本 7.0 (所有版本)、版本 7.2.0 至 7.2.11、版本 7.4.0 至 7.4.3

影響:

成功利用漏洞可以導致受影響的系統發生遠端執行程式碼、服務被拒絕、權限提升、泄漏資訊或繞過保安限制。

建議:

適用於受影響系統的修補程式已可獲取。受影響系統的系統管理員應遵從供應商的建議，立即採取行動以降低風險。

進一步資訊:

• https://fortiguard.fortinet.com/psirt/FG-IR-23-354
• https://fortiguard.fortinet.com/psirt/FG-IR-24-041
• https://fortiguard.fortinet.com/psirt/FG-IR-24-228
• https://fortiguard.fortinet.com/psirt/FG-IR-24-361
• https://fortiguard.fortinet.com/psirt/FG-IR-24-372
• https://fortiguard.fortinet.com/psirt/FG-IR-24-442
• https://fortiguard.fortinet.com/psirt/FG-IR-24-452
• https://fortiguard.fortinet.com/psirt/FG-IR-24-457
• https://fortiguard.fortinet.com/psirt/FG-IR-24-487
• https://fortiguard.fortinet.com/psirt/FG-IR-24-542
• https://fortiguard.fortinet.com/psirt/FG-IR-24-546
• https://fortiguard.fortinet.com/psirt/FG-IR-25-010
• https://fortiguard.fortinet.com/psirt/FG-IR-25-037
• https://fortiguard.fortinet.com/psirt/FG-IR-25-126
• https://fortiguard.fortinet.com/psirt/FG-IR-25-198
• https://fortiguard.fortinet.com/psirt/FG-IR-25-378
• https://fortiguard.fortinet.com/psirt/FG-IR-25-653
• https://fortiguard.fortinet.com/psirt/FG-IR-25-664
• https://fortiguard.fortinet.com/psirt/FG-IR-25-684
• https://fortiguard.fortinet.com/psirt/FG-IR-25-685
• https://fortiguard.fortinet.com/psirt/FG-IR-25-756
• https://www.hkcert.org/tc/security-bulletin/fortinet-products-multiple-vulnerabilities_20251015
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46718
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-26008
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-47569
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50571
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-22258
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-25252 (to CVE-2025-25253)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-25255
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-31366
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-31514
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47890
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49201
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53845
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54822
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54973
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-57740
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-58325
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-58903