【漏洞预警】Fortinet FortiSIEM命令注入漏洞(CVE-2024-23109)

安小圈

第433期

漏洞预警 Win验证

漏洞描述:
Fortinet FortiSIEM是美国飞塔（Fortinet）公司的一套安全信息和事件管理系统,该系统包括资产发现、工作流程自动化和统一管理等功能。
Fortinet FortiSIEM多个版本存在命令注入漏洞,该漏洞源于对特殊元素中和不当,攻击者利用该漏洞通过特制的API请求可以执行未经授权的代码或命令。

受影响系统：
Fortinet FortiSIEM >= 7.1.0 <= 7.1.1
Fortinet FortiSIEM >= 7.0.0 <= 7.0.2
Fortinet FortiSIEM >= 6.7.0 <= 6.7.8
Fortinet FortiSIEM >= 6.6.0 <= 6.6.3
Fortinet FortiSIEM >= 6.5.0 <= 6.5.2
Fortinet FortiSIEM >= 6.4.0 <= 6.4.2

漏洞修复方案:
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://fortiguard.com/psirt/FG-IR-23-130

感谢您抽出 .. 来阅读本文

【原文来源：飓风网络安全】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

一周回顾

	【HVV】在即，盘点 \| 极具威胁的勒索软件组织 TOP 8
	迎战护网HVV：6大常见的网站安全威胁及防范‍
	【渗透】渗透测试中：Zui容易被利用的10大安全弱点
	【漏洞预警】 Microsoft Windows WiFi Driver 输入验证错误漏洞 (CVE-2024-30078)
	【新】华硕曝高危漏洞 7 款路由器
	【海外】德 · 施耐德电气遭黑！Hunt3r Kill3rs黑客声称已成功渗透其网络
	要注意节假日沦为勒索事件爆发周期
	【勒索软件】新进阶 \| 一枚要求支付现金的勒索软件Cash Ransomware
	【正式公布】网络暴力信息治理规定
	【网络安全】晒自拍被间谍策反！国安部披露细节
	【案件】上海 \| 网信部门办理首起人脸识别滥用案件
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮（二）
	【数据安全】《数据安全治理白皮书6.0》\| 政策篇：个人信息保护合规审计
	【发布】《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿)通知
	*！安徽单位遭入侵3.54亿条个人信息被盗，公检联合督促整改**
	【云安全】警惕！\| 云存储泄密风险
	入刑！\|“黑客”攻入国内某知名电器集团售后系统涉案1.2亿判刑14人
	攻防演练在即， 10个物理安全问题不容忽视
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮书(一)
	Gartner：企业在部署生成式人工智能时面临新的安全威胁
	2024 年勒索软件趋势报告：勒索软件仍是企业的主要威胁
	【海外】惊！用AI制造勒索软件：一无 it 技能男子被警方逮捕
	震惊【钓鱼邮件】 60秒即可诱骗员工 \| 2024年DBIR报告
	勒索软件攻击，著名拍卖行佳士得确认数据泄露
	国家安全机关又破获一起英国MI6重大间谍案
	【发布】国家标准 \|《网络安全技术关键信息基础设施边界确定方法》征求意见稿
	【关基】ICT供应链 \| 安全风险评估指标体系研究
	【零信任】安全剖析及实践应用思考
	【零信任】美军 \| “零信任”安全发展现状研究
	【海外】黑客攻击 \| 扫雷含雷？欧美多个金融机构遭攻击！
	第一部分 \| 云计算基础(1)_起源与发展‍
	第一部分 \| 云计算基础(2)_起源与发展
	第二部分 \| 云计算架构(1)_流派及架构‍
【网信】	(上)重大网络安全事件，须1小时内上报！
【网信】	(下)附件：特别重大、重大、较大事件，怎么分？

一周回顾

	【HVV】在即，盘点 \| 极具威胁的勒索软件组织 TOP 8
	迎战护网HVV：6大常见的网站安全威胁及防范‍
	【渗透】渗透测试中：Zui容易被利用的10大安全弱点
	【漏洞预警】 Microsoft Windows WiFi Driver 输入验证错误漏洞 (CVE-2024-30078)
	【新】华硕曝高危漏洞 7 款路由器
	【海外】德 · 施耐德电气遭黑！Hunt3r Kill3rs黑客声称已成功渗透其网络
	要注意节假日沦为勒索事件爆发周期
	【勒索软件】新进阶 \| 一枚要求支付现金的勒索软件Cash Ransomware
	【正式公布】网络暴力信息治理规定
	【网络安全】晒自拍被间谍策反！国安部披露细节
	【案件】上海 \| 网信部门办理首起人脸识别滥用案件
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮（二）
	【数据安全】《数据安全治理白皮书6.0》\| 政策篇：个人信息保护合规审计
	【发布】《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿)通知
	*！安徽单位遭入侵3.54亿条个人信息被盗，公检联合督促整改**
	【云安全】警惕！\| 云存储泄密风险
	入刑！\|“黑客”攻入国内某知名电器集团售后系统涉案1.2亿判刑14人
	攻防演练在即， 10个物理安全问题不容忽视
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮书(一)
	Gartner：企业在部署生成式人工智能时面临新的安全威胁
	2024 年勒索软件趋势报告：勒索软件仍是企业的主要威胁
	【海外】惊！用AI制造勒索软件：一无 it 技能男子被警方逮捕
	震惊【钓鱼邮件】 60秒即可诱骗员工 \| 2024年DBIR报告
	勒索软件攻击，著名拍卖行佳士得确认数据泄露
	国家安全机关又破获一起英国MI6重大间谍案
	【发布】国家标准 \|《网络安全技术关键信息基础设施边界确定方法》征求意见稿
	【关基】ICT供应链 \| 安全风险评估指标体系研究
	【零信任】安全剖析及实践应用思考
	【零信任】美军 \| “零信任”安全发展现状研究
	【海外】黑客攻击 \| 扫雷含雷？欧美多个金融机构遭攻击！
	第一部分 \| 云计算基础(1)_起源与发展‍
	第一部分 \| 云计算基础(2)_起源与发展
	第二部分 \| 云计算架构(1)_流派及架构‍
【网信】	(上)重大网络安全事件，须1小时内上报！
【网信】	(下)附件：特别重大、重大、较大事件，怎么分？

为您推荐

漏洞预警 | 百易云资产管理运营系统SQL注入漏洞

漏洞预警 | 用友移动系统管理SQL注入漏洞

【漏洞预警】VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)

【漏洞预警】用友U8cloud SQL注入漏洞

【漏洞预警】Fortinet FortiManager身份验证缺陷漏洞CVE-2024-47575

漏洞预警 | 百易云资产管理运营系统SQL注入漏洞