Fortinet FortiManager SQLi (FG-IR-24-437)

low Nessus Plugin ID 241982

概要

遠端主機受到一個 sqli 弱點影響。

說明

遠端主機上安裝的 FortiManager 版本比測試過的版本舊。因此會受到 FG-IR-24-437 公告中所提及的一個弱點影響。

- FortiManager 和 FortiAnalyzer 中的 SQL 命令 (「SQL 插入」) 弱點 [CWE-89] 所用的特殊元素不當中和可能允許具有高權限的經驗證攻擊者透過特製要求擷取資料庫資訊。 (CVE-2025-24474)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

對於 6.4.x / 7.0.x / 7.2.x,請參閱廠商公告。針對 7.4.x請升級至 FortiManager 7.4.7 版或更新版本。針對 7.6.x請升級至 FortiManager 7.6.2 版或更新版本。

另請參閱

https://www.fortiguard.com/psirt/FG-IR-24-437

Plugin 詳細資訊

嚴重性: Low

ID: 241982

檔案名稱: fortimanager_FG-IR-24-437.nasl

版本: 1.1

類型: local

系列: Firewalls

已發布: 2025/7/11

已更新: 2025/7/11

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 2.9

CVSS v2

風險因素: Low

基本分數: 3.3

媒介: CVSS2#AV:N/AC:L/Au:M/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2025-24474

CVSS v3

風險因素: Low

基本分數: 2.7

媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N

弱點資訊

必要的 KB 項目: Host/Fortigate/model, Host/Fortigate/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/7/8

弱點發布日期: 2025/7/8

參考資訊

CVE: CVE-2025-24474

IAVA: 2025-A-0481