【漏洞預警】Fortinet FortiCloud SSO 存在重大資安漏洞(CVE-2026-24858)
一、內容說明
本公告轉發自 台灣電腦網路危機處理暨協調中心(TWCERT/CC) 資安警訊(編號:TWCERTCC-200-202601-00000025)。
Fortinet 公布 FortiCloud SSO 存在一項 重大身分驗證繞過漏洞 (CVE-2026-24858,CVSS:9.8)。 攻擊者若擁有 FortiCloud 帳號並已註冊設備, 可能在未經授權的情況下登入並存取 其他帳號所註冊的設備。
備註: Fortinet 已確認此漏洞已有實際攻擊行為, 建議管理人員儘速採取修補或緩解措施, 以降低遭受入侵的風險。
二、影響平台
- FortiAnalyzer:7.6.0–7.6.5、7.4.0–7.4.9、7.2.0–7.2.11、7.0.0–7.0.15
- FortiManager:7.6.0–7.6.5、7.4.0–7.4.9、7.2.0–7.2.11、7.0.0–7.0.15
- FortiOS:7.6.0–7.6.5、7.4.0–7.4.10、7.2.0–7.2.12、7.0.0–7.0.18
- FortiProxy:7.6.0–7.6.4、7.4.0–7.4.12、7.2 所有版本、7.0 所有版本
三、建議措施
- FortiAnalyzer:升級至 7.6.6 / 7.4.10 / 7.2.12 / 7.0.16(含)以上
- FortiManager:升級至 7.6.6 / 7.4.10 / 7.2.13 / 7.0.16(含)以上
- FortiOS:升級至 7.6.6 / 7.4.11 / 7.2.13 / 7.0.19(含)以上
- FortiProxy:升級至 7.6.6 / 7.4.13(含)以上
注意: FortiProxy 7.2 與 7.0 版本已停止修補, 建議儘速規劃遷移至受支援版本。