Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09924

Опубликовано: 12 авг. 2025
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с обходом процедуры аутентификации посредством использования альтернативного пути или канала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над устройством

Вендор

Fortinet Inc.

Наименование ПО

FortiOS
FortiPAM
FortiProxy
FortiSwitchManager

Версия ПО

6.0 (FortiOS)
1.0 (FortiPAM)
1.2 (FortiPAM)
1.1 (FortiPAM)
от 6.4.0 до 6.4.16 (FortiOS)
от 7.0.0 до 7.0.16 (FortiProxy)
от 6.2.0 до 6.2.17 (FortiOS)
от 7.4.0 до 7.4.3 (FortiProxy)
от 7.2.0 до 7.2.9 (FortiProxy)
от 7.2.0 до 7.2.4 (FortiSwitchManager)
от 7.0.0 до 7.0.4 (FortiSwitchManager)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-24-042

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00137
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-26009

CVSS3: 8.1
nvd
6 месяцев назад

An authentication bypass using an alternate path or channel [CWE-288] vulnerability in Fortinet FortiOS version 6.4.0 through 6.4.15 and before 6.2.16, FortiProxy version 7.4.0 through 7.4.2, 7.2.0 through 7.2.8 and before 7.0.15 & FortiPAM before version 1.2.0 allows an unauthenticated attacker to seize control of a managed device via crafted FGFM requests, if the device is managed by a FortiManager, and if the attacker knows that FortiManager's serial number.

github логотип

GHSA-g3r6-2cv3-63vw

CVSS3: 8.1
github
6 месяцев назад

An authentication bypass using an alternate path or channel [CWE-288] vulnerability in Fortinet FortiOS version 6.4.0 through 6.4.15 and before 6.2.16, FortiProxy version 7.4.0 through 7.4.2, 7.2.0 through 7.2.8 and before 7.0.15 & FortiPAM before version 1.2.0 allows an unauthenticated attacker to seize control of a managed device via crafted FGFM requests, if the device is managed by a FortiManager, and if the attacker knows that FortiManager's serial number.

EPSS

Процентиль: 34%
0.00137
Низкий

8.1 High

CVSS3

7.6 High

CVSS2