[內容說明:]

轉發 中華資安國際 CHTSECURITY-200-202309-00000001

Fortinet 近日發布更新，以解決多個產品的安全性弱點。

FortiOS 和 FortiProxy GUI 中網頁生成期間輸入跨站點腳本 弱點，可能允許經過身份驗證的攻擊者通過一般訪客管理權限，設置觸發惡意 JavaScript 程式碼。

FortiWeb 中的保護機制異常，弱點可能允許攻擊者繞過 XSS 和 CSRF 保護。

HiNet SOC 建議管理者儘速評估更新，以降低受駭風險。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

[影響平台:]

● FortiProxy 版本 7.2.0 至 7.2.4

● FortiProxy 版本 7.0.0 至 7.0.10

● FortiOS 版本 7.2.0 至 7.2.4

● FortiOS 版本 7.0.0 至 7.0.11

● FortiOS 版本 6.4.0 至 6.4.12

● FortiOS 版本 6.2.0至6.2.14

● FortiWeb 版本 7.2.0 至 7.2.1

● FortiWeb 版本 7.0.0 至 7.0.6

● FortiWeb 6.4 所有版本

● FortiWeb 6.3 所有版本

​​​​​​​

[建議措施:]

請參考 Fortinet官方網站的說明並更新至建議版本：

(1)FortiProxy 版本 7.2.5 (含)之後版本

(2)FortiProxy 版本 7.0.11 (含)之後版本

(3)FortiOS 版本 7.4.0 (含)之後版本

(4)FortiOS 版本 7.2.5 (含)之後版本

(5)FortiOS 版本7.0.12 (含)之後版本

(6)FortiOS 版本 6.4.13 (含)之後版本

(7)FortiOS 版本 6.2.15 (含)之後版本

(8)FortiWeb 版本

[參考資料:]
1. https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products
2. https://www.fortiguard.com/psirt/FG-IR-23-106
3. https://www.fortiguard.com/psirt/FG-IR-23-068