Fortinet FortiAnalyzer是美国飞塔（Fortinet）公司的一套集中式网络安全报告解决方案。该方案主要用于收集网络日志数据,并通过报告套件对日志中的安全事件、网络流量、Web内容等进行分析、报告、归档操作。 Fortinet FortiAnalyzer 5.0.0版本至5.0.10版本和5.2.0版本至5.2.1版本存在跨站脚本漏洞。由于/p/report/dataset/sql/run/ URI没有充分过滤‘sql-query’GET参数。远程攻击者可利用漏洞在受影响站点的用户浏览器上下文中执行任意HTML或脚本代码。

Fortinet FortiAnalyzer 5.0.0 - 5.0.10 Fortinet FortiAnalyzer 5.2.0 - 5.2.1

用户可参考如下供应商提供的安全公告获得补丁信息: