弱点名称 |
Fortinet:Readonly users could run some sensitive operations |
► 摘要:FortiAnalyzer存在一防护机制不适当问题,经认证至少「read-only」权限之远端攻击者,可送出特制HTTP请求,以进行未经授权的敏感操作。
► CVE 编号:CVE-2024-23666
► 受影响厂商:Fortinet
► 受影响产品:FortiAnalyzer、FortiAnalyzer-BigData、FortiManager
► FortiAnalyzer 7.4.0至7.4.2受影响,升级至7.4.3以上版本修正。
► FortiAnalyzer 7.2.0至7.2.5受影响,升级至7.2.6以上版本修正。
► FortiAnalyzer 7.0.0至7.0.12受影响,升级至7.0.13以上版本修正。
► FortiAnalyzer 6.4.0至6.4.14受影响,升级至6.4.15以上版本修正。
► FortiAnalyzer-BigData 7.4.0受影响,升级至7.4.1以上版本修正。
► FortiAnalyzer-BigData 7.2.0至7.2.6受影响,升级至7.2.7以上版本修正。
► FortiAnalyzer-BigData 7.0全部版本受影响,升级或转移到修补版本。
► FortiAnalyzer-BigData 6.4全部版本受影响,升级或转移到修补版本。
► FortiAnalyzer-BigData 6.2全部版本受影响,升级或转移到修补版本。
► FortiManager 7.4.0至7.4.2受影响,升级至7.4.3以上版本修正。
► FortiManager 7.2.0至7.2.5受影响,升级至7.2.6以上版本修正。
► FortiManager 7.0.0至7.0.12受影响,升级至7.0.13以上版本修正。
► FortiManager 6.4.0至6.4.14受影响,升级至6.4.15以上版本修正。
► 修补说明:Fortinet于2024/11/12发布此漏洞。(详细请参考:https://www.fortiguard.com/psirt/FG-IR-23-396) |
Fortinet:FortiOS - SSLVPN session hijacking using SAML authentication |
► 摘要:FortiOS存在一session fixation漏洞,未经认证的攻击者可利用网络钓鱼手段,诱使受害者登入一预先设置的登入阶段(session ID),进而伪冒该用户身份执行非授权操作,对系统造成进一步威胁。
► CVE 编号:CVE-2023-50176
► 受影响厂商:Fortinet
► 受影响产品:FortiOS
► FortiOS 7.4.0至7.4.3受影响,升级至7.4.4以上版本修正。
► FortiOS 7.2.0至7.2.7受影响,升级至7.2.8以上版本修正。
► FortiOS 7.0.0至7.0.13受影响,升级至7.0.14以上版本修正。
► 修补说明:Fortinet于2024/11/12发布此漏洞。(详细请参考:https://www.fortiguard.com/psirt/FG-IR-23-475) |
Microsoft Office Software Multiple Vulnerabilities |
► 摘要:Microsoft Office存在数项漏洞,有机会让攻击者进行远端代码执行攻击(RCE)。
► Improper Input Validation
► Use After Free
► Buffer Over-read
► Heap-based Buffer Overflow
► Use of Uninitialized Resource
► Out-of-bounds Read
► Command Injection
► CVE 编号:CVE-2023-49033、CVE-2023-49032、CVE-2023-49031、CVE-2023-49030、CVE-2023-49029、CVE-2023-49028、CVE-2023-49027、CVE-2023-49026
► 受影响厂商:Microsoft
► 受影响产品:Microsoft Office Software
► Microsoft Word 2016 (64-bit edition)受影响,升级至16.0.5474.1000以上版本修正。
► Microsoft Word 2016 (32-bit edition)受影响,升级至16.0.5474.1000以上版本修正。
► Microsoft Office LTSC 2024 for 64-bit editions受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office LTSC 2024 for 32-bit editions受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office LTSC 2021 for 64-bit editions受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office LTSC 2021 for 32-bit editions受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office LTSC for Mac 2021受影响,升级至16.91.24111020版本修正。
► Microsoft 365 Apps for Enterprise for 64-bit Systems受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft 365 Apps for Enterprise for 32-bit Systems受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office 2019 for 64-bit editions受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office 2019 for 32-bit editions受影响,至微软Office安全更新网站下载补丁修正。
► Microsoft Office LTSC for Mac 2024受影响,升级至16.91.24111020以上版本修正。
► Microsoft Office 2016 (64-bit edition)受影响,升级至16.0.5474.1000以上版本修正。
► Microsoft Office 2016 (32-bit edition)受影响,升级至16.0.5474.1000以上版本修正。
► Microsoft Excel 2016 (64-bit edition)受影响,升级至16.0.5474.1000以上版本修正。
► Microsoft Excel 2016 (32-bit edition)受影响,升级至16.0.5474.1000以上版本修正。
► 修补说明:Microsoft于2024/11/12发布此漏洞。(详细请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49033 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49032 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49031 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49030 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49029 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49028 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49027 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49026) |