一、 漏洞 CVE-2023-25607 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
FortiManager 7.2.0 到 7.2.2, 7.0.0 到 7.0.7, 6.4.0 到 6.4.11, 6.2 所有版本, 6.0 所有版本, FortiAnalyzer 7.2.0 到 7.2.2, 7.0.0 到 7.0.7, 6.4.0 到 6.4.11, 6.2 所有版本, 6.0 所有版本和 FortiADC 7.1.0, 7.0.0 到 7.0.3, 6.2 所有版本, 6.1 所有版本, 6.0 所有版本的管理界面可能导致具有至少读取系统设置权限的已验证攻击者在底层shell中执行任意命令,因为 wordexp 函数的使用不安全。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An improper neutralization of special elements used in an OS Command ('OS Command Injection') vulnerability [CWE-78 ] in FortiManager 7.2.0 through 7.2.2, 7.0.0 through 7.0.7, 6.4.0 through 6.4.11, 6.2 all versions, 6.0 all versions, FortiAnalyzer 7.2.0 through 7.2.2, 7.0.0 through 7.0.7, 6.4.0 through 6.4.11, 6.2 all versions, 6.0 all versions and FortiADC  7.1.0, 7.0.0 through 7.0.3, 6.2 all versions, 6.1 all versions, 6.0 all versions management interface may allow an authenticated attacker with at least READ permissions on system settings to execute arbitrary commands on the underlying shell due to an unsafe usage of the wordexp function.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Fortinet FortiManager 和 FortiAnalyzer 和 FortiADC 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Fortinet FortiManager等都是美国飞塔(Fortinet)公司的产品。Fortinet FortiManager是一套集中化网络安全管理平台。Fortinet FortiAnalyzer是一套集中式网络安全报告解决方案。Fortinet FortiADC是一款应用交付控制器。 Fortinet FortiManager 和 FortiAnalyzer 和 FortiADC 存在安全漏洞,该漏洞源于存在操作系统命令注入漏洞。管理界面可能允许经过身份验证的攻击者至少 由于 wordexp 函
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-25607 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-25607 的情报信息