Fortinet製品に複数の脆弱性 - 「クリティカル」とされる脆弱性も
Fortinet製品に複数の脆弱性が明らかとなった。「FortiOS」や「FortiProxy」では、重要度が「クリティカル(Critical)」とされる脆弱性「CVE-2023-25610」が判明している。
同社は現地時間3月7日にセキュリティアドバイザリ15件をリリースし、利用者に注意喚起を行った。脆弱性の重要度を見ると、5段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は1件。2番目に高い「高(High)」とされる脆弱性が5件、続く「中(Medium)」が8件、「低(Low)」が1件となっている。
「クリティカル」とされる脆弱性は、「FortiOS」および「FortiProxy」が影響を受けるバッファアンダーフローの脆弱性「CVE-2023-25610」。管理画面インタフェースに対して細工したリクエストを送信されると、認証なしにコードを実行されたり、サービス拒否に陥るおそれがある。ただし、一部ハードウェアに関しては、サービス拒否のみ影響を受けるとしている。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。同社が実施しているセキュリティテストを通じて発見したとしており、公表時点で脆弱性の悪用は確認されていないという。
重要度が「高」とされる脆弱性は、「FortiOS」「FortiProxy」に明らかとなったパストラバーサルの脆弱性「CVE-2022-42476」のほか、「FortiNAC」に判明した「CVE-2022-39953」「CVE-2022-40676」、「FortiWeb」の「CVE-2022-39951」、「FortiSOAR」の「CVE-2023-25605」。
そのほか「FortiPortal」「FortiAuthenticator」「FortiSwitch」「FortiMail」「FortiAnalyzer」「FortiRecorder」「FortiDeceptor」などにも脆弱性が明らかとなっており、同社ではアップデートを提供している。今回公表された脆弱性は以下のとおり。
CVE-2022-22297
CVE-2022-27490
CVE-2022-29056
CVE-2022-39951
CVE-2022-39953
CVE-2022-40676
CVE-2022-41328
CVE-2022-41329
CVE-2022-41333
CVE-2022-42476
CVE-2022-45861
CVE-2023-23776
CVE-2023-25605
CVE-2023-25610
CVE-2023-25611
(Security NEXT - 2023/03/09 )
ツイート
PR
関連記事
GNU Inetutils「telnetd」にRCE脆弱性 - アップデートを準備
HPE Aruba製スイッチ向けOSに認証回避など複数の脆弱性
先週注目された記事(2026年3月8日〜2026年3月14日)
米当局、Chromeゼロデイ脆弱性に注意喚起 - Chromium派生ブラウザも注意
連日「Chrome」が緊急アップデート - 前回未修正のゼロデイ脆弱性に対処
Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
役員の業務依頼を装うフィッシング攻撃で被害 - マリモHD
個人情報含むメールを外部関係者へ誤送信 - 工業所有権情報・研修館
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
