关键信息 漏洞描述 标题: Path traversal vulnerability leading to file creation 描述: 一个路径遍历漏洞(Path Traversal)导致文件创建。该漏洞允许具有读写管理权限的攻击者通过构造的CLI请求在受限目录中创建非任意文件。 影响范围 受影响版本: - FortiAnalyzer 7.4: 7.4.0 至 7.4.2 - FortiAnalyzer 7.2: 所有版本 - FortiAnalyzer 7.0: 所有版本 - FortiAnalyzer 6.4: 所有版本 - FortiAnalyzer 6.2: 所有版本 - FortiAnalyzer-BigData 7.4: 7.4.0 - FortiAnalyzer-BigData 7.2: 所有版本 - FortiAnalyzer-BigData 7.0: 所有版本 - FortiAnalyzer-BigData 6.4: 所有版本 - FortiAnalyzer-BigData 6.2: 所有版本 - FortiManager 7.4: 7.4.0 至 7.4.2 - FortiManager 7.2: 所有版本 - FortiManager 7.0: 所有版本 - FortiManager 6.4: 所有版本 - FortiManager 6.2: 所有版本 解决方案 升级到: - FortiAnalyzer 7.4: 7.4.3 或更高版本 - FortiAnalyzer 7.2: 7.2 所有版本 - FortiAnalyzer 7.0: 7.0 所有版本 - FortiAnalyzer 6.4: 6.4 所有版本 - FortiAnalyzer 6.2: 6.2 所有版本 - FortiAnalyzer-BigData 7.4: 7.4.1 或更高版本 - FortiAnalyzer-BigData 7.2: 7.2 所有版本 - FortiAnalyzer-BigData 7.0: 7.0 所有版本 - FortiAnalyzer-BigData 6.4: 6.4 所有版本 - FortiAnalyzer-BigData 6.2: 6.2 所有版本 - FortiManager 7.4: 7.4.3 或更高版本 - FortiManager 7.2: 7.2 所有版本 - FortiManager 7.0: 7.0 所有版本 - FortiManager 6.4: 6.4 所有版本 - FortiManager 6.2: 6.2 所有版本 识别和报告 发现者: Theo Leleu, Fortinet Product Security team 报告日期: 2024年11月12日 安全评级 CVSSv3 Score: 2.2 影响: 不适当访问控制 其他 语言: 英语 下载: 相关文件下载链接 总结 该漏洞允许具有特定权限的攻击者通过构造的CLI请求在受限目录中创建非任意文件。受影响的版本广泛,包括FortiAnalyzer、FortiManager和FortiAnalyzer-BigData系列。建议受影响的用户尽快升级到相应的固定版本以修复此漏洞。