Fortinet公司修复了影响多个 FortiOS 和 FortiProxy 版本中的一个高危XSS 漏洞 (CVE-2023-29183)。

该漏洞是“在网页生成过程中的处理不当”问题，CVSS 评分为7.3分，如遭成功利用，可导致认证攻击者使用构造的guest 管理设置触发恶意JavaScript 代码执行。

该漏洞由Fortinet 的CSE 团队发现，影响 FortiProxy 版本 7.0.x和7.2.x以及 FortiOS 版本 6.2.x、6.4.x、7.0.x和7.2.x版本。Fortinet 公司已在 FortiProxy 版本7.0.11和7.2.5以及 FortiOS 版本6.2.15、6.4.13、7.0.12、7.2.5和7.4.0中修复。

Fortinet 公司还发布补丁修复了位于 web 应用防火墙和API 防护解决方案 FortiWeb 中的一个高危漏洞（CVE-2023-34984，CVSS 评分7.1）。该漏洞可导致攻击者绕过已有的XSS和CSRF防护措施。Fortinet 公司指出，该漏洞影响 FortiWeb 版本6.3、6.4、7.0、x和7.2.x，并在FortiWeb版本7.0.7和7.2.2中修复。

建议Fortinet 用户尽快更新其防火墙和交换机。虽然该并未提到这些漏洞是否遭利用，但Fortinet设备中的漏洞此前曾在野用于获得对企业网络的访问权限。

CISA提醒称，利用这些漏洞可导致系统遭完全攻陷，并建议管理人员查看Fortinet 公司的安全公告并应用必要更新。CISA提到，“网络威胁行动者可利用其中一个漏洞控制受影响系统”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~