关键信息 漏洞描述 标题: SSLVPN WEB UI Text injection 描述: 一个下游组件('Injection')的输出中未正确中和特殊元素的漏洞(CWE-74)可能导致远程未授权攻击者通过构造请求进行钓鱼尝试。 影响范围 受影响版本: - FortiOS 7.6: 不受影响 - FortiOS 7.4: 7.4.0 至 7.4.3 - FortiOS 7.2: 7.2.0 至 7.2.8 - FortiOS 7.0: 所有版本 - FortiProxy 7.4: 7.4.0 至 7.4.3 - FortiProxy 7.2: 7.2.0 至 7.2.9 - FortiProxy 7.0: 7.0.0 至 7.0.16 解决方案 FortiOS 7.6: 不适用 FortiOS 7.4: 升级到 7.4.4 或更高版本 FortiOS 7.2: 升级到 7.2.9 或更高版本 FortiOS 7.0: 升级到 7.0.17 或更高版本 FortiProxy 7.4: 升级到 7.4.4 或更高版本 FortiProxy 7.2: 升级到 7.2.10 或更高版本 FortiProxy 7.0: 升级到 7.0.17 或更高版本 工作绕过 禁用 SSL-VPN 承认 Fortinet 感谢 Livio Victoriano、Michal Majchrowicz 和 Marcin Wyczechowski 从 AFINE 团队报告此漏洞,并在负责任的披露下报告。 时间线 2024-11-12: 初始发布 其他信息 漏洞编号: FG-IR-24-033 发布日期: 2024年11月12日 组件: GUI 严重性: 低 CVSSv3 分数: 3.6 影响: 不适当访问控制 CVE ID: CVE-2024-33510 CVRF: 下载