一、FortiWeb API 与 CLI 多处命令注入风险

Fortinet FortiWeb 是 Fortinet 公司推出的 Web 应用防火墙（WAF），用于保护网站和 Web 应用免受 SQL 注入、跨站脚本（XSS）、文件包含等常见攻击。

1. 风险内容

    该漏洞源于 API 与 CLI 接口对输入内容缺乏有效过滤，允许经过身份验证的攻击者通过构造特定的HTTP请求或CLI指令，将恶意命令注入系统中并在底层操作系统上执行。成功利用此漏洞的攻击者可获取超出授权范围的执行权限，从而可能导致系统被完全控制、配置遭篡改或进一步横向渗透。

2. 影响范围

    8.0.0 <= FortiWeb <= 8.0.1

    7.6.0 <= FortiWeb <= 7.6.5

    7.4.0 <= FortiWeb <= 7.4.10

    7.2.0 <= FortiWeb <= 7.2.11

3. 修复建议

    联系信息中心获取版本更新链接。

二、GeoServer GetMap XXE 注入风险

GeoServer 是一款开源的地理数据服务器，用于共享、编辑和发布地理空间数据，支持多种标准地图服务协议。

1. 风险内容

2. 影响范围

    2.26.0 <= version < 2.26.2 

3. 修复建议

    联系信息中心获取版本更新链接。

三、Oracle Identity Manager 远程代码执行风险

Oracle Identity Manager 是甲骨文公司推出的一款核心的企业级身份治理与管理解决方案。它属于 Oracle 身份治理套件的一部分，主要用于在企业 IT 系统中自动化管理用户身份的生命周期。

1. 风险内容

    该漏洞源于 SecurityFilter 对请求 URI 处理不当，攻击者可通过添加参数;.wadl 绕过身份验证，然后利用 Groovy 脚本在处理器编译时执行任意代码，从而获取服务器权限。需要注意 Oracle Cloud 也使用了该产品，并且因较老的 CVE-2021-35587 而造成严重数据泄露。

2. 影响范围

    Oracle Identity Manager 14.1.2.1.0

3. 修复建议

    联系信息中心获取版本更新链接。