Krytyczne podatności w produktach Fortinet | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwony trójkąt z wykrzyknikiem w środku unosi się nad klawiaturą laptopa

Krytyczne podatności w produktach Fortinet

CSIRT CeZ ostrzega przed krytycznymi podatnościami w produktach Fortinet. Zostały wykryte aż dwie krytyczne podatności w produktach firmy Fortinet, które umożliwiają niezautoryzowanemu atakującemu ominięcie uwierzytelniania logowania SSO FortiCloud za pomocą spreparowanej wiadomości odpowiedzi SAML. 

Charakterystyka podatności

Oznaczenia:

  • CVE-2025-59718
  • CVE-2025-59719

Score CVSS 3.1: 9,8 (Critical) 
 

Jak działają podatności? 

Nieprawidłowa weryfikacja podpisu kryptograficznego w mechanizmie SAML umożliwia atakującemu ominięcie uwierzytelniania SSO FortiCloud poprzez spreparowaną odpowiedź SAML.

Podatne systemy

  1. CVE-2025-59718
    • FortiOS: 7.6.0–7.6.3, 7.4.0–7.4.8, 7.2.0–7.2.11, 7.0.0–7.0.17
    • FortiProxy: 7.6.0–7.6.3, 7.4.0–7.4.10, 7.2.0–7.2.14, 7.0.0–7.0.21
    • FortiSwitchManager: 7.2.0–7.2.6, 7.0.0–7.0.5
  2. CVE-2025-59719
    • FortiWeb: 8.0.0, 7.6.0–7.6.4, 7.4.0–7.4.9

Działania zapobiegawcze

Zaktualizuj oprogramowanie zgodnie z zaleceniami producenta:

Dlaczego to ważne?

Podatności umożliwiają pełne ominięcie mechanizmu uwierzytelniania, co może prowadzić do przejęcia dostępu do systemów i danych wrażliwych. Atak jest możliwy zdalnie oraz bez uwierzytelnienia.

Źródła