Forti製品のTACACS+ における重大な機能の脆弱性
Esune@dmin概要
- 発行日:2025-5-13
- 更新日:2025-5-28
- 該当CVE ID:CVE-2025-22252
- CvSSv3スコア:9.0 (Critical)
脆弱性の概要
- CVE-2025-22252
FortiOS、FortiProxy、および FortiSwitchManager TACACS+ における重大な機能の脆弱性 [CWE-306] の認証が欠落しており、
認証にリモート TACACS+ サーバーを使用するように設定されていますが、そのサーバー自体は ASCII 認証を使用するように設定されており、
既存の管理者アカウントを知っている攻撃者が認証バイパスを介して有効な管理者としてデバイスにアクセスできる可能性があります。
影響を受ける製品
- FortiOS 7.6
7.6.0
7.6.1以上にアップグレードしてください - FortiOS 7.4
7.4.4 through 7.4.6
7.4.7以上にアップグレードしてください - FortiProxy 7.6
7.6.0 through 7.6.1
7.6.2以上にアップグレードしてください - FortiSwitchManager 7.2
7.2.5
7.2.6以上にアップグレードしてください
対処法
- 上記各製品の該当するVersion以上の物にアップグレード。
ワークアラウンド(回避策)
- 特になし
レスポンスマトリックス
Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。
関連リンク:https://www.fortiguard.com/psirt/FG-IR-24-472
初回執筆:2025年6月2日
