高危保安警報 (A25-11-19): Fortinet 產品多個漏洞

描述:

Fortinet 發布了安全性更新，以應對數個 Fortinet 產品或元件的多個漏洞。遠端攻擊者可誘使用戶透過含有漏洞的瀏覽器開啟包含特製內容的網頁，從而發動攻擊。

有報告指 FortiWeb 的遠端執行程式碼漏洞 (CVE-2025-58034) 正受到攻擊。系統管理員應立即將受影響的系統升級，以減低受到網絡攻擊的風險。

受影響的系統:

• FortiADC 版本 6.2 (所有版本)、版本 7.0 (所有版本)、版本 7.1 (所有版本)、版本 7.2 (所有版本)、版本 7.4 (所有版本)、版本 7.6.0 至 7.6.3、版本 8.0.0
• FortiClientWindows 版本 7.0 (所有版本)、版本 7.2.0 至 7.2.10、版本 7.4.0 至 7.4.3
• FortiExtender 版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.6、版本 7.6.0 至 7.6.1
• FortiMail 版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.5、版本 7.6.0 至 7.6.3
• FortiPAM 版本 1.0 (所有版本)、版本 1.1 (所有版本)、版本 1.2 (所有版本)、版本 1.3 (所有版本)、版本 1.4 (所有版本)、版本 1.5 (所有版本)、版本 1.6.0
• FortiProxy 版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4 (所有版本)、版本 7.6.0 至 7.6.3
• FortiSandbox 版本 4.0 (所有版本)、版本 4.2 (所有版本)、版本 4.4.0 至 4.4.7、版本 5.0.0 至 5.0.1
• FortiSASE 版本 25.3.b
• FortiOS 版本 6.0 (所有版本)、版本 6.2 (所有版本)、版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4 (所有版本)、版本 7.6.0 至 7.6.3
• FortiVoice 版本 7.0.0 至 7.0.7、版本 7.2.0 至 7.2.2
• FortiWeb 版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4 (所有版本)、版本 7.6.0 至 7.6.5、版本 8.0.0 至 8.0.1

有關受影響產品的詳細資料請參閱供應商網站的相應安全公告中有關 “Affected Products” 的部分。

影響:

成功利用漏洞可以導致受影響的系統發生遠端執行程式碼、權限提升、泄漏資訊、繞過保安限制或仿冒詐騙。

建議:

適用於受影響系統的修補程式已可獲取。受影響系統的系統管理員應遵從供應商的建議，立即採取行動以降低風險。

進一步資訊:

• https://fortiguard.fortinet.com/psirt/FG-IR-24-501
• https://fortiguard.fortinet.com/psirt/FG-IR-25-112
• https://fortiguard.fortinet.com/psirt/FG-IR-25-125
• https://fortiguard.fortinet.com/psirt/FG-IR-25-225
• https://fortiguard.fortinet.com/psirt/FG-IR-25-251
• https://fortiguard.fortinet.com/psirt/FG-IR-25-259
• https://fortiguard.fortinet.com/psirt/FG-IR-25-358
• https://fortiguard.fortinet.com/psirt/FG-IR-25-513
• https://fortiguard.fortinet.com/psirt/FG-IR-25-545
• https://fortiguard.fortinet.com/psirt/FG-IR-25-632
• https://fortiguard.fortinet.com/psirt/FG-IR-25-634
• https://fortiguard.fortinet.com/psirt/FG-IR-25-666
• https://fortiguard.fortinet.com/psirt/FG-IR-25-686
• https://fortiguard.fortinet.com/psirt/FG-IR-25-736
• https://fortiguard.fortinet.com/psirt/FG-IR-25-789
• https://fortiguard.fortinet.com/psirt/FG-IR-25-843
• https://fortiguard.fortinet.com/psirt/FG-IR-25-844
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-46215
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-46373
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-46775 (to CVE-2025-46776)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-47761
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53843
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54660
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54821
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54971 (to CVE-2025-54972)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-58034
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-58412 (to CVE-2025-58413)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-58692
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59669
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-61713