最新文章

Top News

Fortinet 紧急修复遭利用的零日漏洞

作者: hackernews 日期: 2026-04-07 分类: 漏洞

HackerNews 编译,转载请注明出处: Fortinet周末紧急发布补丁,修复FortiClient企业管理系统(EMS)中已被作为零日利用的漏洞。 该关键级别漏洞编号CVE-2026-35616(CVSS评分9.1),被描述为访问控制不当问题,可被利用实现远程代码执行(RCE)。...

Fortinet FortiClient EMS 关键漏洞遭利用,可实现远程代码执行

作者: hackernews 日期: 2026-03-31 分类: 漏洞

Fortinet FortiClient EMS平台的关键漏洞CVE-2026-21643(CVSS评分9.1)正遭主动利用,攻击者可通过SQL注入执行远程代码。
Defused研究人员警告称,威胁行为体正在利用Fortinet FortiClient EMS平台的该漏洞。 今年2月,厂商未披露该漏洞是否正遭野外主动利用。
尽管尚未出现在主要被利用列表中,但现实世界攻击已被观察到。
Shadowserver研究人员报告称,约2000个FortiClient EMS实例在线暴露,其中大部分位于美国(756个)和欧洲(683个)。
2024年3月,...

Fortinet 修复正遭利用的严重 FortiOS SSO 认证绕过漏洞

作者: hackernews 日期: 2026-01-29 分类: 网络安全, 漏洞

HackerNews 编译,转载请注明出处: Fortinet 发布一款正被利用的严重 FortiOS SSO 认证绕过漏洞 (CVE-2026-24858) 的修复程序,该漏洞影响 FortiOS、FortiManager 和 FortiAnalyzer。 Fortinet 已开始已开始逐步推送针对某款正遭攻击的高危 FortiOS 漏洞的修复补丁。该漏洞编号为 CVE-2026-24858(CVSS 评分为 9.4),可允许攻击者通过单点登录(SSO)绕过身份认证。它影响 FortiOS、FortiManager 和 FortiAnalyzer,...

Fortinet 警告:FortiOS SSL VPN 双因素绕过漏洞正遭野外利用

作者: hackernews 日期: 2025-12-26 分类: 安全快讯, 漏洞

HackerNews 编译,转载请注明出处: Fortinet 本周三表示,在特定配置下,已观察到五年前披露的一个 FortiOS SSL VPN 安全缺陷(CVE-2020-12812)被“近期滥用”。该漏洞评分 5.2,属于认证不当:若登录时改变用户名大小写,可在启用 2FA 的情况下跳过第二因素验证。 Fortinet 早在 2020 年 7 月就解释过:当用户本地启用 2FA,且认证类型指向远程 LDAP 时,本地与远程对大小写敏感度不一致,即可触发绕过。该漏洞随后被多家威胁组织利用,美国政府也在 2021 年将其列入“边界设备被武器化漏洞”清单。...

Fortinet 和 Ivanti 修复高危漏洞

作者: hackernews 日期: 2025-10-16 分类: 网络安全, 漏洞

HackerNews 编译,转载请注明出处: Fortinet和Ivanti宣布了2025年10月的周二补丁更新,修复了其产品中的许多漏洞。 Fortinet发布了29个新的安全公告,涵盖30多个漏洞。其中几个漏洞被标记为“高危”,包括CVE-2025-54988,该漏洞影响FortiDLP,原因是其使用了Apache Tika。Tika存在一个严重漏洞,允许攻击者读取敏感数据,或向内部资源或第三方服务器发送恶意请求。...

​​FortiWeb 身份验证绕过漏洞曝光,攻击者可快速劫持管理员权限​

作者: hackernews 日期: 2025-08-18 分类: 网络安全, 漏洞

HackerNews 编译,转载请注明出处: 一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证(PoC)利用代码。该漏洞允许远程攻击者绕过身份验证。 该漏洞已负责任地报告给 Fortinet,现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。...

针对 Fortinet VPN 的暴力攻击激增,引发零日漏洞担忧

作者: hackernews 日期: 2025-08-14 分类: 网络攻击, 漏洞

HackerNews 编译,转载请注明出处: 本月上旬,针对Fortinet SSL VPN的暴力破解攻击出现大规模激增,随后攻击目标转向FortiManager,这种有预谋的转向在历史上往往预示着新漏洞即将被披露。 威胁监测平台GreyNoise检测到此次攻击活动呈现两波高峰:8月3日的攻击针对FortiOS SSL VPN设备,而8月5日的第二波攻击则转向FortiManager服务,且具有不同的TCP流量特征。该平台指出,此类针对性扫描与暴力破解行为在80%的情况下会先于新安全漏洞曝光出现。...

Fortinet 修复 FortiVoice 攻击中被利用的高危零日漏洞

作者: hackernews 日期: 2025-05-14 分类: 网络攻击, 漏洞

HackerNews 编译,转载请注明出处: 网络安全厂商Fortinet发布安全更新,修复一个已被作为零日漏洞利用的关键远程代码执行漏洞(CVE-2025-32756)。该漏洞影响FortiVoice企业电话系统、FortiMail邮件安全网关、FortiNDR网络检测响应系统、FortiRecorder监控平台及FortiCamera安防设 根据7月2日发布的安全公告,远程未认证攻击者可通过构造恶意HTTP请求,利用该基于栈的溢出漏洞执行任意代码或命令。Fortinet产品安全团队通过监测攻击活动发现该漏洞,攻击特征包括:...