CVE-2024-33507 (CNNVD-202510-1982)
中文标题:
Fortinet FortiIsolator 代码问题漏洞
英文标题:
An insufficient session expiration vulnerability [CWE-613] and an incorrect authorization vulnerabil...
漏洞描述
中文描述:
Fortinet FortiIsolator是美国飞塔(Fortinet)公司的一个为浏览器提供远程安全隔离功能的应用。该应用为Fortinet Security Fabric添加了额外的高级威胁防护功能,并保护关键业务数据免受网络上复杂威胁的侵害。来自Web的内容和文件在远程容器中访问,然后将无风险的内容呈现给用户。 Fortinet FortiIsolator存在代码问题漏洞,该漏洞源于会话过期不足和授权不当,可能导致远程未经验证攻击者通过特制cookie取消管理员认证,以及远程经验证只读攻击者通过特制cookie获得写入权限。以下版本受到影响:2.4.0版本至2.4.4版本、2.3所有版本、2.2.0版本、2.1所有版本和2.0所有版本。
英文描述:
An insufficient session expiration vulnerability [CWE-613] and an incorrect authorization vulnerability [CWE-863] in FortiIsolator 2.4.0 through 2.4.4, 2.3 all versions, 2.2.0, 2.1 all versions, 2.0 all versions authentication mechanism may allow remote unauthenticated attacker to deauthenticate logged in admins via crafted cookie and remote authenticated read-only attacker to gain write privilege via crafted cookie.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| Fortinet | FortiIsolator | 2.4.4 | ≤ 2.4.4 | - |
cpe:2.3:a:fortinet:fortiisolator:2.4.4:*:*:*:*:*:*:*
|
| fortinet | fortiisolator | * | - | - |
cpe:2.3:a:fortinet:fortiisolator:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
CVSS评分详情
3.1 (cna)
HIGHCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H/E:P/RL:X/RC:X
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2024-33507 |
2025-11-11 15:22:34 | 2025-11-11 07:39:21 |
| NVD | nvd_CVE-2024-33507 |
2025-11-11 15:00:21 | 2025-11-11 07:47:20 |
| CNNVD | cnnvd_CNNVD-202510-1982 |
2025-11-11 15:12:59 | 2025-11-11 08:00:17 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 代码问题
- cnnvd_id: 未提取 -> CNNVD-202510-1982
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']