Fortinet, çok sayıda ürün için güvenlik güncellemeleri yayınladı. Onunla kapanan zayıf noktalardan biri kritik bir risk olarak kabul edilir, daha fazlası tehdit seviyesine sahiptir.
En ciddi olanı, ağ saldırganlarının yönetici şifreleri özellikle kimlik doğrulaması olmadan hazırlanan sorularla değiştirebileceği bir güvenlik boşluğudur (CVE-2024-4887, CVSS 9.3Risk “eleştirmen“). Boşluk, 6.4.15, 7.0.11, 7.2.9, 7.4.5 veya 7.6.1 yazılımını kapatıyor ve daha yeni.
Fortinet: Risk açısından zengin alanlar
Ayrıca, iletişim kanallarında istenen uç noktalar üzerinde yeterli kısıtlama yoktur. Bu, gerçek uç noktalar arasında FGFM kimlik doğrulaması taleplerini ele alarak, çıktı için ortadaki adamın çıktı için yayıncılara izin verir. Forttios, Fortzroxy, Fortimanager, Fortinalyzer, Fortivoice ve Forttiweb (CVE-2024-26013, CVE-2024-50565 bundan etkilenir, her iki CVSS 7.1Risk “yüksek“). Fortisisolator'da,” süper admin “profiline ve komut satırına erişimine sahip saldırganlar, elementlerin yetersiz filtrelemesine kadar uzanan özel olarak hazırlanmış ve yetkisiz HTTP isteklerinin koduna eklenebilir (CVS, CVS, CVS, 7.0,, Risk “yüksek“).
BT yöneticileri yeni güvenlik topluluklarını kontrol etmeli ve ağlarında kullanılan durumlar için mevcut güncellemeleri indirip yüklemeli veya gerekirse, bir güncelleme mümkün olana kadar bazen mevcut olan geçici önlemleri uygulamalıdır.
BT suçluları, genellikle ağa erişime izin verdikleri için Fortinet cihazlarındaki güvenliğin kırılganlığına düzenli olarak saldırıyor. Bu nedenle, yöneticiler uzun süre tereddüt etmemeli, ancak güncellemeleri hızlı bir şekilde yüklemelidir.
(DMK)
En ciddi olanı, ağ saldırganlarının yönetici şifreleri özellikle kimlik doğrulaması olmadan hazırlanan sorularla değiştirebileceği bir güvenlik boşluğudur (CVE-2024-4887, CVSS 9.3Risk “eleştirmen“). Boşluk, 6.4.15, 7.0.11, 7.2.9, 7.4.5 veya 7.6.1 yazılımını kapatıyor ve daha yeni.
Fortinet: Risk açısından zengin alanlar
Ayrıca, iletişim kanallarında istenen uç noktalar üzerinde yeterli kısıtlama yoktur. Bu, gerçek uç noktalar arasında FGFM kimlik doğrulaması taleplerini ele alarak, çıktı için ortadaki adamın çıktı için yayıncılara izin verir. Forttios, Fortzroxy, Fortimanager, Fortinalyzer, Fortivoice ve Forttiweb (CVE-2024-26013, CVE-2024-50565 bundan etkilenir, her iki CVSS 7.1Risk “yüksek“). Fortisisolator'da,” süper admin “profiline ve komut satırına erişimine sahip saldırganlar, elementlerin yetersiz filtrelemesine kadar uzanan özel olarak hazırlanmış ve yetkisiz HTTP isteklerinin koduna eklenebilir (CVS, CVS, CVS, 7.0,, Risk “yüksek“).
BT yöneticileri yeni güvenlik topluluklarını kontrol etmeli ve ağlarında kullanılan durumlar için mevcut güncellemeleri indirip yüklemeli veya gerekirse, bir güncelleme mümkün olana kadar bazen mevcut olan geçici önlemleri uygulamalıdır.
- Set_password Endpoint aracılığıyla doğasında olmayan şifrenin düzenlenmesi, CVE-2024-48887, CVSS 9.3Risk “eleştirmen“
- Fortinayzer, Forttios, Fortiproxy, Fortiweb-No FGFM bağlantısı için sertifikanın doğrulanması, CVE-2024-26013+CVE-2024-50565, CVSS 7.1, yüksek
- Tanı (GUI), CVE-2024-54024, CVSS 7.0,, yüksek
- Traversal Fortiweb-Directory, CVE-2025-25254, CVSS 6.8,, orta
- Forteisolator-OS Komut Enjeksiyonu Gen-CA-CERT komutunda, CVE-2024-54025, CVSS 6.5,, orta
- Fortiweb-Enrrorct Kullanıcısının Widgets Gösterge Tablosunda Yönetimi, CVE-2024-46671, CVSS 5.6,, orta
- Fortianalyzer ve Fortimanager'dan Kirlilik -OG Access sayfası, CVE-2024-52962, CVSS 5.0,, orta
- Forticlient EMS, JavaScript kodunu MESAJLAR, CVE-2025-22855, CVSS aracılığıyla istemciye gönderebilir 2.6,, Bas
- Fortios-Hap Modifikasyon ile Geri Getilebilen Hafif Metin Kimlik Bilgileri, CVE-2024-32122, CVSS 2.1,, Bas
BT suçluları, genellikle ağa erişime izin verdikleri için Fortinet cihazlarındaki güvenliğin kırılganlığına düzenli olarak saldırıyor. Bu nedenle, yöneticiler uzun süre tereddüt etmemeli, ancak güncellemeleri hızlı bir şekilde yüklemelidir.
(DMK)