Fortinet製品における読み取り専用ユーザーは機密性の高い操作を実行することが出来る可能性

2024-11-15 最終更新日時 : 2024-11-15 Esune@dmin

概要

  • 発行日:2024-11-12
  • 該当CVE ID:CVE-2024-23666
  • CvSSv3スコア:7.1 (High)

脆弱性の概要

  • CVE-2024-23666
    FortiAnalyzer のサーバー側セキュリティ脆弱性 [CWE-602] がクライアント側で強制されると、少なくとも読み取り専用権限を持つ認証された攻撃者が、
    細工されたリクエストを介して機密操作を実行できる可能性。

影響を受ける製品

  • FortiAnalyzer 7.4 7.4.0 ~ 7.4.1
  • FortiAnalyzer 7.2 7.2.0 ~ 7.2.4
  • FortiAnalyzer 7.0 7.0.0 ~ 7.0.11
  • FortiAnalyzer 6.4 6.4.0 ~ 6.4.14
  • FortiAnalyzer-BigData 7.4 7.4.0
  • FortiAnalyzer-BigData 7.2 7.2.0 ~ 7.2.6
  • FortiAnalyzer-BigData 7.0 7.0 全てのバージョン
  • FortiAnalyzer-BigData 6.4 6.4 全てのバージョン
  • FortiAnalyzer-BigData 6.2 6.2 全てのバージョン
  • FortiManager 7.4 7.4.0 ~ 7.4.1
  • FortiManager 7.2 7.2.0 ~ 7.2.4
  • FortiManager 7.0 7.0.0 ~ 7.0.11
  • FortiManager 6.4 6.4.0 ~ 6.4.14

対処法

  • 上記各製品の該当するVersion以上の物にアップグレード。

ワークアラウンド(回避策)

  • 特になし

レスポンスマトリックス

Fortinetは、各アドバイザリについて、影響を受ける製品バージョン、オペレーティングシステム、
CVE識別子、CVSSv3スコア、重要度、修正バージョンなどの詳細情報を提供しています。
詳細については、関連リンクを参照ください。

関連リンク:https://fortiguard.fortinet.com/psirt/FG-IR-23-396

初回執筆:2024年11月15日

カテゴリー
脆弱性情報
タグ
前の記事
≪更新≫Fortinet製品におけるFGFM脆弱性について
2024-10-18
次の記事
FortiOSにおけるSAML認証を使用したSSLVPNセッションハイジャックNew!!
2024-11-15