CNNVD Fortinet FortiOS多个安全漏洞情况的通报

<返回列表

? ? ? 近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiOS多个安全漏洞情况的报送。包括Fortinet FortiOS 路径遍历漏洞(CNNVD-201905-1026、CVE-2018-13379)、Fortinet FortiOS 跨站脚本漏洞(CNNVD-201905-1024、CVE-2018-13380)等多个漏洞。成功利用漏洞的攻击者,可在未经身份验证的情况下获取用户账号敏感信息,修改账号密码,从而最终控制目标系统。Fortinet FortiOS 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本等多个版本均受此漏洞影响。目前,Fortigate官方已发布升级补丁修复了该漏洞,建议用户尽快将Fontigate升级到FortiOS 5.4.11、5.6.9、6.0.5、6.2.0或更高版本,从而修补漏洞带来的危害。

一、漏洞介绍

? ? ? Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。在2019年blackhat上,安全研究人员公布了Fortinet FortiOS多个漏洞,包括Fortinet FortiOS路径遍历漏洞(CNNVD-201905-1026、CVE-2018-13379)、Fortinet FortiOS 跨站脚本漏洞(CNNVD-201905-1024、CVE-2018-13380)、Fortinet FortiOS 缓冲区错误漏洞(CNNVD-201905-878、CVE-2018-13381)(CNNVD-201904-116、CVE-2018-13383)、Fortinet FortiOS授权问题漏洞(CNNVD-201905-1025、CVE-2018-13382)等。成功利用漏洞的攻击者,可在未经身份验证的情况下获取用户账号敏感信息,修改账号密码,从而最终控制目标系统。漏洞详情如下:

? ? ? 1、Fortinet FortiOS路径遍历漏洞(CNNVD-201905-1026、CVE-2018-13379)

? ? ? 漏洞源于该系统未能正确地过滤资源或文件路径中的特殊元素,导致攻击者可以利用该漏洞访问受限目录以外的位置。Fortinet FortiOS 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本中的SSL VPN 受此漏洞影响。

? ? ? 2、Fortinet FortiOS跨站脚本漏洞(CNNVD-201905-1024、CVE-2018-13380)

? ? ? 漏洞源于WEB应用缺少对客户端数据的正确验证,导致攻击者可利用该漏洞执行客户端代码。Fortinet FortiOS 6.0.0版本至6.0.4版本、5.6.0版本至5.6.7版本、5.4及之前版本中的SSL VPN 受此漏洞影响。

? ? ? 3、Fortinet FortiOS缓冲区错误漏洞(CNNVD-201905-878、CVE-2018-13381)(CNNVD-201904-116、CVE-2018-13383)

? ? ? 漏洞源于该系统在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作,攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。Fortinet FortiOS 6.2.0之前版本受此漏洞影响。

? ? ? 4、Fortinet FortiOS授权问题漏洞(CNNVD-201905-1025、CVE-2018-13382)

? ? ? 漏洞源于该系统中缺少身份验证措施或身份验证强度不足,导致攻击者可以修改任意用户的密码。Fortinet FortiOS 6.0.0版本至6.0.4版本、5.6.0版本至5.6.8版本、5.4.1版本至5.4.10版本受此漏洞影响。

二、危害影响

? ? ? 目前,漏洞利用代码已公开,Fortinet FortiOS多个版本均受漏洞影响,具体影响版本如下:

漏洞名称

影响版本

1

Fortinet FortiOS路径遍历漏洞(CNNVD-201905-1026、CVE-2018-13379)

Fortinet FortiOS 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本

2

Fortinet FortiOS跨站脚本漏洞(CNNVD-201905-1024、CVE-2018-13380)

Fortinet FortiOS 6.0.0版本至6.0.4版本、5.6.0版本至5.6.7版本、5.4及之前版本

3

Fortinet FortiOS缓冲区错误漏洞(CNNVD-201905-878、CVE-2018-13381)(CNNVD-201904-116、CVE-2018-13383)

Fortinet FortiOS 6.2.0之前版本

4

Fortinet FortiOS授权问题漏洞(CNNVD-201905-1025、CVE-2018-13382)

Fortinet FortiOS 6.0.0版本至6.0.4版本、5.6.0版本至5.6.8版本、5.4.1版本至5.4.10版本

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案镇江免备案江苏免备案辽宁免备案vps山东联通免备案
分享新闻到:

更多帮助

国内免备案VPS有哪些优质选择?高性价比推荐及使用体验分享

新闻中心 2026-04-23
近年来,服务器领域不断发展,国内用户对于VPS的需求也逐步提升,尤其是免备案服务器。随着建站门槛的降低,很多站长和企业开始寻求更加灵活、便捷的解决方案,其中免备···
查看全文

2026推荐:国内免费空间免备案轻松建站新选择

新闻中心 2026-04-23
很多人第一次尝试自己搭建网站,最大的困扰往往不是技术难题,而是在繁复流程和高昂费用之间的权衡。一些新手发现,许多网站上线前都需要繁琐的备案过程,还要购买服务器、···
查看全文

国内空间秒变网站无需备案轻松搭建高效在线平台

新闻中心 2026-04-22
近年来,随着网络技术的不断革新,人们对在线平台的需求愈发强烈。各行各业都渴望通过互联网展示自身的业务,拓展更广阔的市场。不论是个人展示作品,还是企业发布产品信息···
查看全文
返回更多帮助