【漏洞預警】Fortinet 旗下多項產品發布重大資安公告 (CVE-2025-59718、CVE-2025-59719)

【漏洞預警】Fortinet 旗下多項產品發布重大資安公告 (CVE-2025-59718、CVE-2025-59719)

發布日期:2025.12.16

內容說明

轉發:台灣電腦網路危機處理暨協調中心(TWCERT/CC)
資安訊息警訊:TWCERTCC-200-202512-00000003

  • CVE-2025-59718(CVSS 9.8)
    FortiOS、FortiProxy 及 FortiSwitchManager 存在身分驗證繞過漏洞,未經驗證的攻擊者可利用特製的 SAML 訊息 繞過 FortiCloud SSO 身分驗證機制。
  • CVE-2025-59719(CVSS 9.8)
    FortiWeb 存在身分驗證繞過漏洞, 未經驗證的攻擊者可利用特製的 SAML 訊息 繞過 FortiCloud SSO 身分驗證機制。

影響平台

CVE-2025-59718

  • FortiOS 7.6.0 – 7.6.3
  • FortiOS 7.4.0 – 7.4.8
  • FortiOS 7.2.0 – 7.2.11
  • FortiOS 7.0.0 – 7.0.17
  • FortiProxy 7.6.0 – 7.6.3
  • FortiProxy 7.4.0 – 7.4.10
  • FortiProxy 7.2.0 – 7.2.14
  • FortiProxy 7.0.0 – 7.0.21
  • FortiSwitchManager 7.2.0 – 7.2.6
  • FortiSwitchManager 7.0.0 – 7.0.5

CVE-2025-59719

  • FortiWeb 7.4.0 – 7.4.9
  • FortiWeb 7.6.0 – 7.6.4
  • FortiWeb 8.0.0

建議措施

CVE-2025-59718

  • FortiOS 7.6.4 以上
  • FortiOS 7.4.9 以上
  • FortiOS 7.2.12 以上
  • FortiOS 7.0.18 以上
  • FortiProxy 7.6.4 以上
  • FortiProxy 7.4.11 以上
  • FortiProxy 7.2.15 以上
  • FortiProxy 7.0.22 以上
  • FortiSwitchManager 7.2.7 以上
  • FortiSwitchManager 7.0.6 以上

CVE-2025-59719

  • FortiWeb 7.4.10 以上
  • FortiWeb 7.6.5 以上
  • FortiWeb 8.0.1 以上