关键信息 漏洞描述 标题: Readonly users could run some sensitive operations 摘要: 一个客户端执行的服务器端安全漏洞[CWE-602]在FortiAnalyzer中可能允许具有至少只读权限的已认证攻击者通过构造请求执行敏感操作。 影响范围 受影响版本: - FortiAnalyzer 7.4: 7.4.0 through 7.4.2 - FortiAnalyzer 7.2: 7.2.0 through 7.2.5 - FortiAnalyzer 7.0: 7.0.0 through 7.0.12 - FortiAnalyzer 6.4: 6.4.0 through 6.4.14 - FortiAnalyzer-BigData 7.4: 7.4.0 - FortiAnalyzer-BigData 7.2: 7.2.0 through 7.2.6 - FortiAnalyzer-BigData 7.0: 7.0 all versions - FortiAnalyzer-BigData 6.4: 6.4 all versions - FortiAnalyzer-BigData 6.2: 6.2 all versions - FortiManager 7.4: 7.4.0 through 7.4.2 - FortiManager 7.2: 7.2.0 through 7.2.5 - FortiManager 7.0: 7.0.0 through 7.0.12 - FortiManager 6.4: 6.4.0 through 6.4.14 解决方案 升级到: - FortiAnalyzer 7.4: 7.4.3 或更高版本 - FortiAnalyzer 7.2: 7.2.6 或更高版本 - FortiAnalyzer 7.0: 7.0.13 或更高版本 - FortiAnalyzer 6.4: 6.4.15 或更高版本 - FortiAnalyzer-BigData 7.4: 7.4.1 或更高版本 - FortiAnalyzer-BigData 7.2: 7.2.7 或更高版本 - FortiAnalyzer-BigData 7.0: 7.0 all versions - FortiAnalyzer-BigData 6.4: 6.4 all versions - FortiAnalyzer-BigData 6.2: 6.2 all versions - FortiManager 7.4: 7.4.3 或更高版本 - FortiManager 7.2: 7.2.6 或更高版本 - FortiManager 7.0: 7.0.13 或更高版本 - FortiManager 6.4: 6.4.15 或更高版本 识别和报告 识别者: Paul BARBE, Antoine CARRINCAZEAX, Clément AMIC 识别机构: Synacktiv (https://www.synacktiv.com) 识别日期: 2024-11-12 安全评级 严重性: 高 CVSSv3 分数: 7.1 影响: 不适当访问控制 其他信息 CVE ID: CVE-2024-23666 CVRF: 下载 结论 这个漏洞允许具有只读权限的用户执行敏感操作,影响了多个FortiAnalyzer和FortiManager的版本。建议受影响的用户尽快升级到相应的高版本以修复此漏洞。