SecEvery - Vulnerability Warning
2024-10-23
未经身份验证的远程攻击者可以使用有效的 FortiGate 证书在 FortiManager 中注册未经授权的设备。成功利用漏洞后,攻击者将能够查看和修改文件(例如配置文件)以获取敏感信息,并能够管理其他设备。
2024-11-12
SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而绕过应用程序的安全措施,直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下,使得攻击者能够获取、修改或删除数据库中的数据,甚至可能执行服务器上的任意代码。
2024-11-12
敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足,导致敏感信息(如用户数据、系统配置、内部通信等)被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击,如身份盗窃、欺诈、数据篡改等。
2024-10-23
FortiManager 提供了统一的管理,在各种复杂混合环境中实现一致的安全性,防御安全威胁,主要优势包括使用最佳实践模板加速零接触配置,支持大规模部署 SD\-WAN,简化 Fortinet Security Fabric 之间的工作流程。2024年10月,官方披露 CVE\-2024\-47575 Fortinet FortiManager 身份认证绕过漏洞,由于某些接口或者功能存在关键的认证缺失,攻击者可以通过恶意构造的请求绕过身份认证,从而执行任意命令。
2024-11-12
鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制,获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中,使得未经授权的用户能够访问或操作敏感数据、执行关键操作,甚至获取系统控制权。