高危保安警報 (A25-12-06): Fortinet 產品多個漏洞

描述:

Fortinet 發布了安全性更新，以應對數個 Fortinet 產品或元件的多個漏洞。遠端攻擊者可誘使用戶透過含有漏洞的瀏覽器開啟包含特製內容的網頁，從而發動攻擊。

有報告指 Fortinet 產品的繞過認證漏洞 (CVE-2025-59718 及 CVE-2025-59719) 正受到攻擊。系統管理員應立即為受影響的系統安裝修補程式，以減低受到網絡攻擊的風險。

受影響的系統:

• FortiAnalyzer 版本 7.2.0 至 7.2.5、版本 7.4.0 至 7.4.2
• FortiAuthenticator 版本 6.3 (所有版本)、版本 6.4 (所有版本)、版本 6.5 (所有版本)、版本 6.6.0 至 6.6.6
• FortiExtender 版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.7、版本 7.6.0 至 7.6.3
• FortiManager 版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2.0 至 7.2.5、版本 7.4.0 至 7.4.2
• FortiOS 版本 6.4 (所有版本)、版本 7.0 (所有版本)、版本 7.2 (所有版本)、版本 7.4.0 至 7.4.8、版本 7.6.0 至 7.6.3
• FortiPAM 版本 1.0 (所有版本)、版本 1.1 (所有版本)、版本 1.2 (所有版本)、版本 1.3 (所有版本)、版本 1.4 (所有版本)
• FortiPortal 版本 6.0 (所有版本)、版本 7.4.0 至 7.4.5
• FortiProxy 版本 7.0.0 至 7.0.21、版本 7.2.0 至 7.2.14、版本 7.4.0 至 7.4.10、版本 7.6.0 至 7.6.3
• FortiSASE 版本 24.1.b
• FortiSandbox 版本 4.0 (所有版本)、版本 4.2 (所有版本)、版本 4.4.0 至 4.4.7、版本 5.0.0 至 5.0.2
• FortiSOAR on-premise 版本 7.3 (所有版本)、版本 7.4 (所有版本)、版本 7.5.0 至 7.5.1、版本 7.6.0 至 7.6.2
• FortiSOAR PaaS 版本 7.3 (所有版本)、版本 7.4 (所有版本)、版本 7.5.0 至 7.5.1、版本 7.6.0 至 7.6.2
• FortiSRA 版本 1.4 (所有版本)
• FortiSwitchManager 版本 7.0.0 至 7.0.5、版本 7.2.0 至 7.2.6
• FortiVoice 版本 6.0 (所有版本)、版本 6.4 (所有版本)、版本 7.0.0 至 7.0.7、版本 7.2.0 至 7.2.2
• FortiWeb 版本 7.0.0 至 7.0.11、版本 7.2.0 至 7.2.11、版本 7.4.0 至 7.4.10、版本 7.6.0 至 7.6.5、版本 8.0.0 至 8.0.1

有關受影響產品的詳細資料，請參閱供應商網站的相應安全公告中有關 “Affected Products” 的部分。

影響:

成功利用漏洞可以導致受影響的系統發生遠端執行程式碼、服務被拒絕、權限提升、泄漏資訊或繞過保安限制。

建議:

現已有適用於受影響系統的修補程式。受影響系統的系統管理員應遵從供應商的建議，立即採取行動以降低風險。

進一步資訊:

• https://fortiguard.fortinet.com/psirt/FG-IR-24-133
• https://fortiguard.fortinet.com/psirt/FG-IR-24-268
• https://fortiguard.fortinet.com/psirt/FG-IR-25-032
• https://fortiguard.fortinet.com/psirt/FG-IR-25-362
• https://fortiguard.fortinet.com/psirt/FG-IR-25-411
• https://fortiguard.fortinet.com/psirt/FG-IR-25-454
• https://fortiguard.fortinet.com/psirt/FG-IR-25-477
• https://fortiguard.fortinet.com/psirt/FG-IR-25-479
• https://fortiguard.fortinet.com/psirt/FG-IR-25-554
• https://fortiguard.fortinet.com/psirt/FG-IR-25-599
• https://fortiguard.fortinet.com/psirt/FG-IR-25-601
• https://fortiguard.fortinet.com/psirt/FG-IR-25-616
• https://fortiguard.fortinet.com/psirt/FG-IR-25-647
• https://fortiguard.fortinet.com/psirt/FG-IR-25-739
• https://fortiguard.fortinet.com/psirt/FG-IR-25-812
• https://fortiguard.fortinet.com/psirt/FG-IR-25-945
• https://fortiguard.fortinet.com/psirt/FG-IR-25-984
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-40593
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-47570
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53679
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53949
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54353
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-54838
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-57823
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59718 (to CVE-2025-59719)
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59808
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59810
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-59923
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-60024
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-62631
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64153
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64156
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64447
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64471