【漏洞預警】Fortinet 旗下多項產品發布重大資安公告 (CVE-2025-59718、CVE-2025-59719)
發布日期:2025.12.16
內容說明
轉發:台灣電腦網路危機處理暨協調中心(TWCERT/CC)
資安訊息警訊:TWCERTCC-200-202512-00000003
- CVE-2025-59718(CVSS 9.8)
FortiOS、FortiProxy 及 FortiSwitchManager 存在身分驗證繞過漏洞,未經驗證的攻擊者可利用特製的 SAML 訊息 繞過 FortiCloud SSO 身分驗證機制。 - CVE-2025-59719(CVSS 9.8)
FortiWeb 存在身分驗證繞過漏洞, 未經驗證的攻擊者可利用特製的 SAML 訊息 繞過 FortiCloud SSO 身分驗證機制。
影響平台
CVE-2025-59718
- FortiOS 7.6.0 – 7.6.3
- FortiOS 7.4.0 – 7.4.8
- FortiOS 7.2.0 – 7.2.11
- FortiOS 7.0.0 – 7.0.17
- FortiProxy 7.6.0 – 7.6.3
- FortiProxy 7.4.0 – 7.4.10
- FortiProxy 7.2.0 – 7.2.14
- FortiProxy 7.0.0 – 7.0.21
- FortiSwitchManager 7.2.0 – 7.2.6
- FortiSwitchManager 7.0.0 – 7.0.5
CVE-2025-59719
- FortiWeb 7.4.0 – 7.4.9
- FortiWeb 7.6.0 – 7.6.4
- FortiWeb 8.0.0
建議措施
CVE-2025-59718
- FortiOS 7.6.4 以上
- FortiOS 7.4.9 以上
- FortiOS 7.2.12 以上
- FortiOS 7.0.18 以上
- FortiProxy 7.6.4 以上
- FortiProxy 7.4.11 以上
- FortiProxy 7.2.15 以上
- FortiProxy 7.0.22 以上
- FortiSwitchManager 7.2.7 以上
- FortiSwitchManager 7.0.6 以上
CVE-2025-59719
- FortiWeb 7.4.10 以上
- FortiWeb 7.6.5 以上
- FortiWeb 8.0.1 以上