Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も
Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2023-25610」が判明している。
同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は1件。2番目に高い「高(High)」とされる脆弱性が5件、続く「中(Medium)」が8件、「低(Low)」が1件となっている。
「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に陥るおそれがある。ただし、一部ハードウェアに関しては、サービス拒否のみ影響を受けるとしている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.3」。同社が実施しているセキュリティテストを通じて発見したとしており、公表時点で脆弱性の悪用は確認されていないという。
重要度が「高」とされる脆弱性は、「FortiOS」「FortiProxy」に明らかとなったパストラバーサルの脆弱性「CVE-2022-42476」のほか、「FortiNAC」に判明した「CVE-2022-39953」「CVE-2022-40676」、「FortiWeb」の「CVE-2022-39951」、「FortiSOAR」の「CVE-2023-25605」。
そのほか「FortiPortal」「FortiAuthenticator」「FortiSwitch」「FortiMail」「FortiAnalyzer」「FortiRecorder」「FortiDeceptor」などにも脆弱性が明らかとなっており、同社ではアップデートを提供している。今回公表された脆弱性は以下のとおり。
CVE-2022-22297
CVE-2022-27490
CVE-2022-29056
CVE-2022-39951
CVE-2022-39953
CVE-2022-40676
CVE-2022-41328
CVE-2022-41329
CVE-2022-41333
CVE-2022-42476
CVE-2022-45861
CVE-2023-23776
CVE-2023-25605
CVE-2023-25610
CVE-2023-25611
(Security NEXT - 2023/03/09 )
ツイート
PR
関連記事
「Spring Framework」に複数の脆弱性 - 重要度「Critical」も
入札情報公開時に誤って個人情報を公開 - 新潟県
電気やガスの偽請求メールに注意 - 未払で供給停止などと不安煽る
高校6クラス分の「遅刻者記録表」が所在不明に - 大阪府
Apple、「iOS/iPadOS 16.4」を公開 - 「同15.7.4」も同時リリース
Windowsの「Snipping Tool」にアップデート - 加工前に復元できる脆弱性
「OpenSSL」に脆弱性、重要度低く今後修正予定
MLOpsプラットフォーム「MLflow」に深刻な脆弱性
地銀装うフィッシング攻撃に注意 - 振込や振替を制限などと不安煽る
都イベント参加者宛のメールで誤送信 - 「送信取消機能」が追い打ちに