Fortinet 發布了安全性更新，以解決影響 FortiSwitch 的一個嚴重安全漏洞，該漏洞可能允許攻擊者進行未經授權的密碼更改。

漏洞的編號為CVE-2024-48887，CVSS 評分為 9.3（滿分為 10.0）。

Fortinet在今天發布的安全公告中表示： “FortiSwitch GUI 中存在一個未經驗證的密碼更改漏洞 [CWE-620]，可能允許遠端未經身份驗證的攻擊者透過特製的請求修改管理員密碼。” 此缺陷影響以下版本 - 

• FortiSwitch 7.6.0（升級至 7.6.1 或更高版本） 
• FortiSwitch 7.4.0 至 7.4.4（升級至 7.4.5 或更高版本） 
• FortiSwitch 7.2.0 至 7.2.8（升級至 7.2.9 或更高版本） 
• FortiSwitch 7.0.0 到 7.0.10（升級到 7.0.11 或更高版本）
•  FortiSwitch 6.4.0 至 6.4.14（升級至 6.4.15 或更高版本）

網路安全公司表示，該安全漏洞是由 FortiSwitch Web UI 開發團隊的 Daniel Rozeboom 內部發現並報告的。 作為解決方法，Fortinet 建議停用來自管理介面的 HTTP/HTTPS 訪問，並將系統存取限制為僅受信任的主機。 雖然沒有證據表明漏洞已被利用，但影響 Fortinet 產品的許多安全漏洞已被威脅行為者利用，因此用戶必須迅速應用修補程式。

本文章引自於 https://thehackernews.com/2025/04/fortinet-urges-fortiswitch-upgrades-to.html