FortiOS 存在身份验证绕过导致命令执行漏洞(CVE-2024-55591)

免责声明:

本文旨在提供有关特定漏洞的深入信息，帮助用户充分了解潜在的安全风险。发布此信息的目的在于提升网络安全意识和推动技术进步，未经授权访问系统、网络或应用程序，可能会导致法律责任或严重后果。因此，作者不对读者基于本文内容所采取的任何行为承担责任。读者在使用本文信息时，必须严格遵循适用的法律法规及服务协议，自行承担一切风险与责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品介绍:

FortiOS 是 Fortinet 公司开发的操作系统，作为 Fortinet 安全平台的核心，提供全面的网络安全功能。 它将网络和安全功能无缝集成，支持跨本地、云、混合和融合 IT/OT/IoT 基础设施环境的统一管理。 FortiOS 7.6 版本引入了生成式人工智能助手、数据保护、托管服务和单一代理等新功能，进一步增强了其安全性和性能。

0x02 漏洞概述：

影响 FortiOS 和 FortiProxy 的使用备用路径或通道身份验证绕过漏洞 [CWE-288] 可能允许远程攻击者通过对 Node.js websocket 模块的精心设计请求获得超级管理员权限。 

0x03 空间测绘:

fofa