资安业者WatchGuard发布资安公告，指出身分验证系统Authentication Gateway的单一签入（SSO）组件，存在弱点CVE-2024-6592、CVE-2024-6593、CVE-2024-6594，CVSS风险评分介于7.5至9.1。对此，他们已发布12.10.2版Authentication Gateway（又称为Single Sign-On Agent），以及Windows、macOS用户端程序Single Sign-On Client新版12.7、12.5.4予以修补。

根据CVSS风险评分高低，较值得留意的是被列为重大层级的CVE-2024-6592、CVE-2024-6593，两者之所以被认定为漏洞，是因为Authentication Gateway与Single Sign-On Client之间，出现不正确授权的情况，其中CVE-2024-6592影响Windows及macOS用户端，另一个漏洞仅有Windows用户端受到波及。

对于CVE-2024-6592的部分，攻击者在得到网络存取权限的情况下，可借由伪造的通信来触发，截取通过身分验证的用户名及群组成员身分，或将任意帐号及群组信息发送到Authentication Gateway。

至于另一个漏洞CVE-2024-6593，攻击者有机会在取得网络环境的存取权限后，运行部分管理命令。

不过，该公司强调，攻击者无法利用这些漏洞取得帐密数据，他们也尚未发现漏洞被用于实际攻击。但值得留意的是，通报此事的资安业者RadTeam Pentesting已公布概念性验证代码（PoC），IT人员还是要尽速采取行动因应。