聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号是CVE-2023-45590,CVSS评分为9.4。Fortinet 公司在一份安全公告中提到,“FortiClientLinux 中存在一个代码注入漏洞,可导致未认证攻击者通过诱骗用户访问恶意网站的方式,执行任意代码。”
该漏洞被指为因“危险nodejs配置”而引发的远程代码执行漏洞,影响如下版本:
FortiClientLinux 版本7.0.3至70.4以及7.0.6至7.0.10(更新至7.0.11或更高版本)
FortiClientLinux 版本7.2.0(更新至7.2.1或更高版本)
Dbappsecurity 公司的安全研究员 CataLpa 发现并报送了该漏洞。
Fortinet 公司在4月发布的本次补丁还修复了 FortiClientMac 安装程序中的一个可导致代码执行后果的漏洞(CVE-2023-45588和CVE-2024-31492,CVSS评分7.8)。另外还修复了一个 FortiOS 和 FortiProxy 漏洞,它可在某些情况下泄露管理员 cookie(CVE-2023-41677,CVSS评分7.5)。
虽然并未有证明表明这些漏洞已遭在野利用,但建议用户更新系统,缓解潜在威胁。
Fortinet 提醒注意严重的FortiSIEM命令注入漏洞
https://thehackernews.com/2024/04/fortinet-has-released-patches-to.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~