Fortinet本週也為旗下產品進行修補，有兩個重大漏洞CVE-2025-59718與CVE-2025-59719特別引起關注，原因是只要裝置註冊了技術支援服務平臺FortiCare，就有可能開啟特定功能而曝險

近年來鎖定Fortinet旗下應用系統資安漏洞的攻擊行動不時傳出，以上個月而言，該公司先後修補兩個已遭利用的網頁應用程式防火牆（WAF）漏洞CVE-2025-64446、CVE-2025-58034，因此，只要他們修補高風險層級的重大漏洞，往往會引起各界矚目。

本週二資安業者Fortinet針對旗下應用系統發布修補程式，其中一則資安公告引起高度關注，原因是此公告當中，揭露兩個重大層級的資安漏洞CVE-2025-59718與CVE-2025-59719相當危險，而且影響範圍相當廣泛，涵蓋防火牆作業系統FortiOS、FortiWeb、網頁安全閘道FortiProxy，以及網路設備集中管理平臺FortiSwitchManager。

針對這兩個資安漏洞，Fortinet指出皆為加密簽章不當驗證造成，未經身分驗證的攻擊者可利用特製的SAML訊息，繞過FortiCloud單一簽入（SSO）的身分驗證機制，只要是啟用此單一簽入機制的FortiOS、FortiWeb、FortiProxy，或是FortiSwitchManager，就會受到影響。該公司提及，雖然這些設備並未預設啟用相關功能，然而只要管理員為裝置登錄到技術支援服務平臺FortiCare，該單一簽入功能就會自動啟用。

換言之，只要裝置註冊了FortiCare，就會曝露於上述漏洞的風險而對於漏洞的影響範圍，涵蓋7.0至7.6.3版FortiOS、7.0至7.6.3版FortiProxy、7.4至7.6.4版FortiWeb，以及7.0至7.2.6版FortiSwitchManager，該公司強調，若是無法及時套用新版程式修補，應關閉FortiCloud登入功能因應。對於上述漏洞的危險性，Fortinet在公告提及CVSS評分為9.1，不過，他們在美國國家漏洞資料庫（NVD）登記為9.8分。

而對於漏洞的影響範圍，涵蓋7.0至7.6.3版FortiOS、7.0至7.6.3版FortiProxy、7.4至7.6.4版FortiWeb，以及7.0至7.2.6版FortiSwitchManager，該公司強調，若是無法及時套用新版程式修補，應關閉FortiCloud登入功能因應。

內文轉自 ITHome: https://www.ithome.com.tw/news/172750

FortiGuard Labs 官方說明:https://www.fortiguard.com/psirt/FG-IR-25-647