Fortinet FortiAnalyzer任意代码执行漏洞（CVE-2023-25611）-信息中心

网络安全

当前位置: 部门首页 >> 网络安全 >> 正文

Fortinet FortiAnalyzer任意代码执行漏洞（CVE-2023-25611）

日期： 2023-06-08 作者： nsfocus 点击数:

发布日期：2023-03-07

更新日期：2023-06-08

受影响系统：

Fortinet Fortinet FortiAnalyzer >= 7.2.0

Fortinet Fortinet FortiAnalyzer >= 7.0.0

Fortinet Fortinet FortiAnalyzer >= 6.4.0

Fortinet Fortinet FortiAnalyzer < ="7.2.1
Fortinet Fortinet FortiAnalyzer < ="7.0.5
Fortinet Fortinet FortiAnalyzer < ="6.4.9

描述：

CVE(CAN) ID: CVE-2023-25611

Fortinet FortiAnalyzer是美国飞塔（Fortinet）公司的一套集中式网络安全报告解决方案，该产品主要用于收集网络日志数据，并通过报告套件对日志中的安全事件、网络流量、Web内容等进行分析、报告、归档操作。

Fortinet FortiAnalyzer 6.4.0至6.4.9版本、7.0.0至7.0.5版本和7.2.0至7.2.1版本存在任意代码执行漏洞，本地攻击者可利用该漏洞通过在宏名称中插入电子表格公式在未经授权的情况下执行代码或命令。

< *链接：https://www.fortiguard.com/psirt/FG-IR-22-488

建议：

厂商补丁：

Fortinet

--------

Fortinet已经为此发布了一个安全公告（FG-IR-22-488）以及相应补丁:

FG-IR-22-488：FortiAnalyzer - CSV injection in macro name

链接：https://www.fortiguard.com/psirt/FG-IR-22-488

浏览次数：41

严重程度：0（网友投票）