Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も
Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2023-25610」が判明している。
同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は1件。2番目に高い「高(High)」とされる脆弱性が5件、続く「中(Medium)」が8件、「低(Low)」が1件となっている。
「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に陥るおそれがある。ただし、一部ハードウェアに関しては、サービス拒否のみ影響を受けるとしている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。同社が実施しているセキュリティテストを通じて発見したとしており、公表時点で脆弱性の悪用は確認されていないという。
重要度が「高」とされる脆弱性は、「FortiOS」「FortiProxy」に明らかとなったパストラバーサルの脆弱性「CVE-2022-42476」のほか、「FortiNAC」に判明した「CVE-2022-39953」「CVE-2022-40676」、「FortiWeb」の「CVE-2022-39951」、「FortiSOAR」の「CVE-2023-25605」。
そのほか「FortiPortal」「FortiAuthenticator」「FortiSwitch」「FortiMail」「FortiAnalyzer」「FortiRecorder」「FortiDeceptor」などにも脆弱性が明らかとなっており、同社ではアップデートを提供している。今回公表された脆弱性は以下のとおり。
CVE-2022-22297
CVE-2022-27490
CVE-2022-29056
CVE-2022-39951
CVE-2022-39953
CVE-2022-40676
CVE-2022-41328
CVE-2022-41329
CVE-2022-41333
CVE-2022-42476
CVE-2022-45861
CVE-2023-23776
CVE-2023-25605
CVE-2023-25610
CVE-2023-25611
(Security NEXT - 2023/03/09 )
ツイート
PR
関連記事
「Joomla」向け編集ツール「JCE」、脆弱性悪用に注意
「MariaDB」に複数脆弱性 - アップデートで修正
「Firefox」にアップデート - 脆弱性40件を修正
フィッシング報告が23%増 - 約9割が独自ドメイン名を利用
机の中に生徒資料を置き忘れ、複数生徒が閲覧 - 大阪府
申込者向けのイベント案内メールで誤送信 - 田村市
ランサムウェア被害が発生、営業活動は継続 - 食創
廃棄端末の内蔵HDDが外部流通、内部に患者情報 - 北海道医療センター
廃棄PCの内蔵HDD、破砕されずに外部流通 - 道がんセンター
脆弱性の悪用カタログに2件をあらたに追加 - 米当局
