FortiNET wydaje aktualizacje dla swoich produktów. (P26-029)

utworzone przez | sty 28, 2026 | Aktualizacje

ProduktFortiAnalyzer 7.6 – wersje od 7.6.0 do 7.6.5
FortiAnalyzer 7.4 – wersje od 7.4.0 do 7.4.9
FortiAnalyzer 7.2 – wersje od 7.2.0 do 7.2.11
FortiAnalyzer 7.0 – wersje od 7.0.0 do 7.0.15
FortiManager 7.6 – wersje od 7.6.0 do 7.6.5
FortiManager 7.4 – wersje od 7.4.0 do 7.4.9
FortiManager 7.2 – wersje od 7.2.0 do 7.2.11
FortiManager 7.0 – wersje od 7.0.0 do 7.0.15
FortiOS 7.6 – wersje od 7.6.0 do 7.6.5
FortiOS 7.4 – wersje 7.4.0 do 7.4.10
FortiOS 7.2 – wersje 7.2.0 do 7.2.12
FortiOS 7.0 – wersje 7.0.0 do 7.0.18
FortiProxy 7.6 – wersje 7.6.0 do 7.6.4
FortiProxy 7.4 – wersje 7.4.0 do 7.4.12
FortiProxy 7.2 – wszystkie wersje
FortiProxy 7.0 – wszystkie wersje
Numer CVECVE-2026-21509
Krytyczność9.4/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C
OpisLuka w zabezpieczeniach umożliwiająca ominięcie uwierzytelniania za pomocą alternatywnej ścieżki lub kanału [CWE-288] w systemach FortiOS, FortiManager i FortiAnalyzer może umożliwić atakującemu z kontem FortiCloud i zarejestrowanym urządzeniem logowanie się do innych urządzeń zarejestrowanych na innych kontach, jeśli uwierzytelnianie FortiCloud SSO jest na nich włączone.   Należy pamiętać, że funkcja logowania FortiCloud SSO nie jest włączona w domyślnych ustawieniach fabrycznych. Jednak gdy administrator zarejestruje urządzenie w FortiCare z poziomu graficznego interfejsu użytkownika urządzenia, logowanie FortiCloud SSO zostanie włączone po rejestracji, chyba że administrator wyłączy przełącznik „Zezwalaj na logowanie administracyjne za pomocą FortiCloud SSO” na stronie rejestracji.   Ta luka została odkryta i wykorzystana przez dwa złośliwe konta FortiCloud, które zostały zablokowane 22 stycznia 2026 r. Aby chronić swoich klientów przed dalszymi atakami, Fortinet wyłączył usługę logowania FortiCloud SSO po stronie FortiCloud 26 stycznia 2026 r. Został on ponownie włączony 27 stycznia 2026 r. i nie obsługuje już logowania z urządzeń z podatnymi wersjami. W związku z tym klienci muszą dokonać aktualizacji do najnowszych wersji wymienionych poniżej, aby uwierzytelnianie jednokrotne FortiCloud działało.
  
AktualizacjaTAK
Linkhttps://fortiguard.fortinet.com/psirt/FG-IR-26-060