| 弱點名稱 |
| Fortinet:Readonly users could run some sensitive operations |
► 摘要:FortiAnalyzer存在一防護機制不適當問題,經認證至少「read-only」權限之遠端攻擊者,可送出特製HTTP請求,以進行未經授權的敏感操作。
► CVE 編號:CVE-2024-23666
► 受影響廠商:Fortinet
► 受影響產品:FortiAnalyzer、FortiAnalyzer-BigData、FortiManager
► FortiAnalyzer 7.4.0至7.4.2受影響,升級至7.4.3以上版本修正。
► FortiAnalyzer 7.2.0至7.2.5受影響,升級至7.2.6以上版本修正。
► FortiAnalyzer 7.0.0至7.0.12受影響,升級至7.0.13以上版本修正。
► FortiAnalyzer 6.4.0至6.4.14受影響,升級至6.4.15以上版本修正。
► FortiAnalyzer-BigData 7.4.0受影響,升級至7.4.1以上版本修正。
► FortiAnalyzer-BigData 7.2.0至7.2.6受影響,升級至7.2.7以上版本修正。
► FortiAnalyzer-BigData 7.0全部版本受影響,升級或轉移到修補版本。
► FortiAnalyzer-BigData 6.4全部版本受影響,升級或轉移到修補版本。
► FortiAnalyzer-BigData 6.2全部版本受影響,升級或轉移到修補版本。
► FortiManager 7.4.0至7.4.2受影響,升級至7.4.3以上版本修正。
► FortiManager 7.2.0至7.2.5受影響,升級至7.2.6以上版本修正。
► FortiManager 7.0.0至7.0.12受影響,升級至7.0.13以上版本修正。
► FortiManager 6.4.0至6.4.14受影響,升級至6.4.15以上版本修正。
► 修補說明:Fortinet於2024/11/12發佈此漏洞。(詳細請參考:https://www.fortiguard.com/psirt/FG-IR-23-396) |
| Fortinet:FortiOS - SSLVPN session hijacking using SAML authentication |
► 摘要:FortiOS存在一session fixation漏洞,未經認證的攻擊者可利用網路釣魚手段,誘使受害者登入一預先設置的登入階段(session ID),進而偽冒該用戶身份執行非授權操作,對系統造成進一步威脅。
► CVE 編號:CVE-2023-50176
► 受影響廠商:Fortinet
► 受影響產品:FortiOS
► FortiOS 7.4.0至7.4.3受影響,升級至7.4.4以上版本修正。
► FortiOS 7.2.0至7.2.7受影響,升級至7.2.8以上版本修正。
► FortiOS 7.0.0至7.0.13受影響,升級至7.0.14以上版本修正。
► 修補說明:Fortinet於2024/11/12發佈此漏洞。(詳細請參考:https://www.fortiguard.com/psirt/FG-IR-23-475) |
| Microsoft Office Software Multiple Vulnerabilities |
► 摘要:Microsoft Office存在數項漏洞,有機會讓攻擊者進行遠端代碼執行攻擊(RCE)。
► Improper Input Validation
► Use After Free
► Buffer Over-read
► Heap-based Buffer Overflow
► Use of Uninitialized Resource
► Out-of-bounds Read
► Command Injection
► CVE 編號:CVE-2023-49033、CVE-2023-49032、CVE-2023-49031、CVE-2023-49030、CVE-2023-49029、CVE-2023-49028、CVE-2023-49027、CVE-2023-49026
► 受影響廠商:Microsoft
► 受影響產品:Microsoft Office Software
► Microsoft Word 2016 (64-bit edition)受影響,升級至16.0.5474.1000以上版本修正。
► Microsoft Word 2016 (32-bit edition)受影響,升級至16.0.5474.1000以上版本修正。
► Microsoft Office LTSC 2024 for 64-bit editions受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office LTSC 2024 for 32-bit editions受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office LTSC 2021 for 64-bit editions受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office LTSC 2021 for 32-bit editions受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office LTSC for Mac 2021受影響,升級至16.91.24111020版本修正。
► Microsoft 365 Apps for Enterprise for 64-bit Systems受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft 365 Apps for Enterprise for 32-bit Systems受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office 2019 for 64-bit editions受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office 2019 for 32-bit editions受影響,至微軟Office安全更新網站下載補丁修正。
► Microsoft Office LTSC for Mac 2024受影響,升級至16.91.24111020以上版本修正。
► Microsoft Office 2016 (64-bit edition)受影響,升級至16.0.5474.1000以上版本修正。
► Microsoft Office 2016 (32-bit edition)受影響,升級至16.0.5474.1000以上版本修正。
► Microsoft Excel 2016 (64-bit edition)受影響,升級至16.0.5474.1000以上版本修正。
► Microsoft Excel 2016 (32-bit edition)受影響,升級至16.0.5474.1000以上版本修正。
► 修補說明:Microsoft於2024/11/12發佈此漏洞。(詳細請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49033 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49032 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49031 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49030 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49029 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49028 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49027 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49026) |
