Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2026-24858

Опубликовано: 27 янв. 2026
Источник: nvd
CVSS3: 9.8
EPSS Низкий

Описание

An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.5, FortiAnalyzer 7.4.0 through 7.4.9, FortiAnalyzer 7.2.0 through 7.2.11, FortiAnalyzer 7.0.0 through 7.0.15, FortiManager 7.6.0 through 7.6.5, FortiManager 7.4.0 through 7.4.9, FortiManager 7.2.0 through 7.2.11, FortiManager 7.0.0 through 7.0.15, FortiOS 7.6.0 through 7.6.5, FortiOS 7.4.0 through 7.4.10, FortiOS 7.2.0 through 7.2.12, FortiOS 7.0.0 through 7.0.18, FortiProxy 7.6.0 through 7.6.4, FortiProxy 7.4.0 through 7.4.12, FortiProxy 7.2.0 through 7.2.15, FortiProxy 7.0.0 through 7.0.22, FortiWeb 8.0.0 through 8.0.3, FortiWeb 7.6.0 through 7.6.6, FortiWeb 7.4.0 through 7.4.11 may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.15 (включая)
cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*
Версия от 7.2.0 (включая) до 7.2.11 (включая)
cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*
Версия от 7.4.0 (включая) до 7.4.10 (исключая)
cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*
Версия от 7.6.0 (включая) до 7.6.6 (исключая)
cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.15 (включая)
cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*
Версия от 7.2.0 (включая) до 7.2.11 (включая)
cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*
Версия от 7.4.0 (включая) до 7.4.10 (исключая)
cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*
Версия от 7.6.0 (включая) до 7.6.6 (исключая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.22 (включая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 7.2.0 (включая) до 7.2.15 (включая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 7.4.0 (включая) до 7.4.12 (включая)
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*
Версия от 7.6.0 (включая) до 7.6.4 (включая)
cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*
Версия от 7.4.0 (включая) до 7.4.11 (включая)
cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*
Версия от 7.6.0 (включая) до 7.6.6 (включая)
cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.0.3 (включая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 7.0.0 (включая) до 7.0.18 (включая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 7.2.0 (включая) до 7.2.12 (включая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 7.4.0 (включая) до 7.4.11 (исключая)
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Версия от 7.6.0 (включая) до 7.6.6 (исключая)

EPSS

Процентиль: 88%
0.03712
Низкий

9.8 Critical

CVSS3

Дефекты

CWE-288

Связанные уязвимости

github логотип

GHSA-2x38-48vp-w23x

CVSS3: 9.8
github
8 дней назад

An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.5, FortiAnalyzer 7.4.0 through 7.4.9, FortiAnalyzer 7.2.0 through 7.2.11, FortiAnalyzer 7.0.0 through 7.0.15, FortiManager 7.6.0 through 7.6.5, FortiManager 7.4.0 through 7.4.9, FortiManager 7.2.0 through 7.2.11, FortiManager 7.0.0 through 7.0.15, FortiOS 7.6.0 through 7.6.5, FortiOS 7.4.0 through 7.4.10, FortiOS 7.2.0 through 7.2.12, FortiOS 7.0.0 through 7.0.18 may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.

fstec логотип

BDU:2026-00882

CVSS3: 9.8
fstec
9 дней назад

Уязвимость механизма аутентификации FortiCloud SSO операционных систем FortiOS, программного средства централизованного управления устройствами Fortinet FortiManager, программного средства отслеживания и анализа событий безопасности FortiAnalyzer и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю получить несанкционированный доступ к устройству

EPSS

Процентиль: 88%
0.03712
Низкий

9.8 Critical

CVSS3

Дефекты

CWE-288