TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	其它安全通報
發佈日期	2023-09-20
標題	【漏洞預警】Fortinet 發布多個產品的安全公告，建議請管理者儘速評估更新！
CVE	CVE-2023-29183、 CVE-2023-34984
BID
影響平台	● FortiProxy 版本 7.2.0 至 7.2.4 ● FortiProxy 版本 7.0.0 至 7.0.10 ● FortiOS 版本 7.2.0 至 7.2.4 ● FortiOS 版本 7.0.0 至 7.0.11 ● FortiOS 版本 6.4.0 至 6.4.12 ● FortiOS 版本 6.2.0至6.2.14 ● FortiWeb 版本 7.2.0 至 7.2.1 ● FortiWeb 版本 7.0.0 至 7.0.6 ● FortiWeb 6.4 所有版本 ● FortiWeb 6.3 所有版本
說明	發佈編號：TACERT-ANA-2023092004095151 (轉發中華資安國際 CHTSECURITY-200-202309-00000001) Fortinet 近日發布更新，以解決多個產品的安全性弱點。 FortiOS 和 FortiProxy GUI 中網頁生成期間輸入跨站點腳本弱點，可能允許經過身份驗證的攻擊者通過一般訪客管理權限，設置觸發惡意 JavaScript 程式碼。 FortiWeb 中的保護機制異常，弱點可能允許攻擊者繞過 XSS 和 CSRF 保護。 HiNet SOC 建議管理者儘速評估更新，以降低受駭風險。情資分享等級: WHITE(情資內容為可公開揭露之資訊)
解決方式	請參考 Fortinet官方網站的說明並更新至建議版本： (1)FortiProxy 版本 7.2.5 (含)之後版本 (2)FortiProxy 版本 7.0.11 (含)之後版本 (3)FortiOS 版本 7.4.0 (含)之後版本 (4)FortiOS 版本 7.2.5 (含)之後版本 (5)FortiOS 版本7.0.12 (含)之後版本 (6)FortiOS 版本 6.4.13 (含)之後版本 (7)FortiOS 版本 6.2.15 (含)之後版本 (8)FortiWeb 版本 [參考資料:] 1. https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products 2. https://www.fortiguard.com/psirt/FG-IR-23-106 3. https://www.fortiguard.com/psirt/FG-IR-23-068
相關資訊連結
相關修正資訊連結