Katalog CVE

CVE-2025-31366

ŚrednieCVSS 4.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 - wyżej niż 29% wszystkich znanych CVE

Streszczenie

Podatność typu Reflected XSS w FortiOS, FortiProxy i FortiSASE umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów w przeglądarce ofiary poprzez spreparowane żądania HTTP. Problem wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania strony internetowej.

Ocena ryzyka

Atakujący może przejąć sesję administratora lub użytkownika, wykraść dane uwierzytelniające lub rozprzestrzenić złośliwe oprogramowanie w sieci organizacji.

Rekomendacja

Niezwłocznie zaktualizuj FortiOS, FortiProxy i FortiSASE do wersji zawierających poprawkę. Do czasu aktualizacji ogranicz dostęp do paneli administracyjnych tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

An Improper Neutralization of Input During Web Page Generation vulnerability [CWE-79] vulnerability in Fortinet FortiOS 7.6.0 through 7.6.3, FortiOS 7.4.0 through 7.4.8, FortiOS 7.2 all versions, FortiOS 7.0 all versions, FortiOS 6.4 all versions, FortiProxy 7.6.0 through 7.6.3, FortiProxy 7.4 all versions, FortiProxy 7.2 all versions, FortiProxy 7.0 all versions, FortiSASE 25.2.a may allow an unauthenticated attacker to perform a reflected cross site scripting (XSS) via crafted HTTP requests.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS