聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本周二，Fortinet 通知用户称在公司产品中发现了16个漏洞，其中6个是“高危”级别。

在这些高危漏洞中，其中一个影响 FortiTester，可导致认证攻击者通过特殊构造的现有命令的参数，执行命令。FortiSIEM 漏洞可导致具有命令行访问权限的本地攻击者，通过硬编码密码直接在Glassfish服务器上执行操作。余下的高危漏洞是存储型和反射型XSS漏洞，影响 FortiADC、FortiDeceptor、FortiManager和FortiAnalyzer。其中一些漏洞可在无需认证的情况下被远程利用。

FortiOS、FortiTester、FortiSOAR、FortiMail、FortiEDR CollectorWindows、FortiClient Mac版和 FortiADC 中修复了多个中危和低危漏洞。它们可悲用于提权、执行XSS攻击、获取敏感信息、执行XSS攻击、绕过防护措施、更改设置和执行任意命令。

更多信息可参见Fortinet 公开的安全公告信息。

最近，Fortinet 提醒客户称FortiOS、FortiProxy和FortiSwitchManager 产品中存在一个已遭活跃利用的漏洞CVE-2022-40684。漏洞披露后且由于某些用户未能快速应用补丁，已存在大量利用尝试。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

Fortinet：立即修复这个严重的认证绕过漏洞！

Fortinet 修复多个路径遍历漏洞

黑客利用老旧安全缺陷攻破数万未打补丁的 Fortinet VPN 设备

Fortinet 修复严重漏洞，可导致未认证黑客以最高权限执行任意代码

Fortinet 防火墙受高危漏洞影响，可遭远程攻击

原文链接

https://www.securityweek.com/fortinet-patches-6-high-severity-vulnerabilities

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~