Fortinet FortiWLM 高危漏洞曝光

据BleepingComputer消息，Fortinet 披露其无线管理器FortiWLM 存在高危漏洞 CVE-2023-34990，属相对路径遍历型。攻击者能利用 “ ems cgi-bin ezrf_lighttpd.cgi” 端点的输入验证缺陷，在 “op_type” 为 “upgradelogs” 时，通过 “imagename” 参数的目录遍历读取系统敏感日志，获取管理员会话 ID，实现权限劫持。该漏洞波及 8.6.0 至 8.6.5 与 8.5.0 至 8.5.4 版本。虽 2023 年 5 月已被发现，却因无 CVE 编号与公告，用户未觉风险。直至 2024 年 12 月 18 日 Fortinet 称 2023 年 9 月底的 8.6.6 和 8.5.5 版本已修复。