一、漏洞详情

FortiOS是Fortinet提供的操作系统，用于其安全设备（如防火墙）。FortiProxy是FortiOS的一个组件，主要用于代理服务，提供反向代理、Web 应用防火墙等功能。

近日，监测到Fortinet官方发布安全公告，指出 FortiOS 和 FortiProxy 存在一个身份验证绕过漏洞（CVE-2024-55591），攻击者可通过精心构造的请求，利用Node.js WebSocket模块，绕过身份验证并获取超级管理员权限。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

7.0.0 <= FortiOS 7.0 <= 7.0.16

7.2.0 <= FortiProxy 7.2 <= 7.2.12

7.0.0 <= FortiProxy 7.0 <= 7.0.19

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

FortiOS 7.0 >= 7.0.17

FortiProxy 7.2 >= 7.2.13

FortiProxy 7.0 >= 7.0.20