FortiGate SSL VPN漏洞(CVE-2021-26092),原廠在2021年5月30日已釋出解決方案,有啟用SSL VPN的網友,可以參考一下相關風險的解決方案。
發布日期:2021年05月30日
IR號碼:FG-IR-20-199
影響:
在SSL VPN web portal的網頁上有Cross-site Scripting (XSS)的弱點,可能允許未經身份驗證的遠程攻擊者送帶有惡意GET參數進而達到跨站點腳本 (XSS) 攻擊。
受影響的產品:
FortiOS 5.6系列:FortiGate 5.6.13及以下版本。
FortiOS 6.0系列:FortiGate 6.0.12及以下版本。
FortiOS 6.2系列:FortiGate 6.2.7及以下版本。
FortiOS 6.4系列:FortiGate 6.4.5及以下版本。
解決方案:
請升級到 FortiGate 6.0.13 或更高版本。
請升級到 FortiGate 6.2.8 或更高版本。
請升級到 FortiGate 6.4.6 或更高版本。
請升級到 FortiGate 7.0.0 或更高版本。
臨時性方案:
關閉SSL-VPN web認證畫面。
原廠說明網址:
https://www.fortiguard.com/psirt/FG-IR-20-199