CVE-2025-31366
ŚrednieCVSS 4.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 - wyżej niż 29% wszystkich znanych CVE
Streszczenie
Podatność typu Reflected XSS w FortiOS, FortiProxy i FortiSASE umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów w przeglądarce ofiary poprzez spreparowane żądania HTTP. Problem wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania strony internetowej.
Ocena ryzyka
Atakujący może przejąć sesję administratora lub użytkownika, wykraść dane uwierzytelniające lub rozprzestrzenić złośliwe oprogramowanie w sieci organizacji.
Rekomendacja
Niezwłocznie zaktualizuj FortiOS, FortiProxy i FortiSASE do wersji zawierających poprawkę. Do czasu aktualizacji ogranicz dostęp do paneli administracyjnych tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
An Improper Neutralization of Input During Web Page Generation vulnerability [CWE-79] vulnerability in Fortinet FortiOS 7.6.0 through 7.6.3, FortiOS 7.4.0 through 7.4.8, FortiOS 7.2 all versions, FortiOS 7.0 all versions, FortiOS 6.4 all versions, FortiProxy 7.6.0 through 7.6.3, FortiProxy 7.4 all versions, FortiProxy 7.2 all versions, FortiProxy 7.0 all versions, FortiSASE 25.2.a may allow an unauthenticated attacker to perform a reflected cross site scripting (XSS) via crafted HTTP requests.

