Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も

Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル（Critical）」とされる脆弱性「CVE-2023-25610」が判明している。

同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル（Critical）」とされる脆弱性は1件。2番目に高い「高（High）」とされる脆弱性が5件、続く「中（Medium）」が8件、「低（Low）」が1件となっている。

「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に陥るおそれがある。ただし、一部ハードウェアに関しては、サービス拒否のみ影響を受けるとしている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.3」。同社が実施しているセキュリティテストを通じて発見したとしており、公表時点で脆弱性の悪用は確認されていないという。

重要度が「高」とされる脆弱性は、「FortiOS」「FortiProxy」に明らかとなったパストラバーサルの脆弱性「CVE-2022-42476」のほか、「FortiNAC」に判明した「CVE-2022-39953」「CVE-2022-40676」、「FortiWeb」の「CVE-2022-39951」、「FortiSOAR」の「CVE-2023-25605」。

そのほか「FortiPortal」「FortiAuthenticator」「FortiSwitch」「FortiMail」「FortiAnalyzer」「FortiRecorder」「FortiDeceptor」などにも脆弱性が明らかとなっており、同社ではアップデートを提供している。今回公表された脆弱性は以下のとおり。

CVE-2022-22297
CVE-2022-27490
CVE-2022-29056
CVE-2022-39951
CVE-2022-39953
CVE-2022-40676
CVE-2022-41328
CVE-2022-41329
CVE-2022-41333
CVE-2022-42476
CVE-2022-45861
CVE-2023-23776
CVE-2023-25605
CVE-2023-25610
CVE-2023-25611

（Security NEXT - 2023/03/09 ）ツイート

Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も

関連リンク

PR

関連記事