超危
Severity and Metrics
Base Score:
—
Vector:
—
Impact Score:
—
Exploitability Score:
—
FortiGate-websocket-越权访问
EXP
EXP/POC/漏洞分析下载
发布时间:2025-02-06 16:54:16
更新时间:2025-02-06 16:54:16
应用类型:网络设备(交换机、路由器等网络端设备)-物联网
漏洞类型:越权访问
提交时间:2025-01-15 18:08:19
发现时间:2025-01-14 00:00:00
漏洞描述
一个影响 FortiOS 和 FortiProxy 的使用替代路径或通道的身份验证绕过漏洞 [CWE-288],可能允许远程攻击者通过对 Node.js websocket 模块的伪造请求获得超级管理员权限。
相关编号
CVE编号:CVE-2024-55591
CNNVD编号:—
CNVD编号:—
影响版本
FortiGate from 7.0.0 through 7.0.16, FortiProxy from 7.2.0 through 7.2.12, FortiProxy from 7.0.0 through 7.0.19
前置条件
无
影响后果
未经身份验证的利用
高数据丢失
补丁修复信息
新版取消了 access token 验证方式。
Exp漏洞截图及验证视频
游客用户没有权限查看,请
登录
Poc漏洞截图及验证视频
游客用户没有权限查看,请
登录
操作记录
2025-01-15 18:08:19
提交漏洞
2025-01-23 16:25:48
审核漏洞
2025-02-06 16:54:16
发布漏洞
安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。