Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Fortinet、20件のセキュリティアドバイザリを公開 - 「クリティカル」も

Fortinetは、現地時間11月14日にセキュリティアドバイザリ20件を公開し、複数製品に関する脆弱性を明らかにした。「FortiSIEM」「FortiWLM」では特に影響が大きい脆弱性が明らかとなっている。

各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせてセキュリティアドバイザリ20件を公開したもの。サードパーティに起因するものも含め、あわせて21件の脆弱性について明らかにした。

同社における5段階の重要度において、もっとも高い「クリティカル(Critical)」とされる脆弱性は「CVE-2023-36553」「CVE-2023-34991」の2件。

「CVE-2023-36553」は、「FortiSIEM」に明らかとなったOSコマンドインジェクションの脆弱性。細工したAPIリクエストにより認証なしにコマンドを実行されるおそれがある。前月明らかとなった「CVE-2023-34992」の亜種として内部で発見されたという。

一方「CVE-2023-34991」は、外部のセキュリティ研究者より報告を受けた「FortiWLM」に関する「SQLインジェクション」の脆弱性。細工されたhttpリクエストにより、認証を必要とすることなくSQLコマンドを実行することが可能となる。

いずれも共通脆弱性評価システム「CVSSv3.1」において、ベーススコアは「9.8」と評価されている。

(Security NEXT - 2023/11/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

複数Adobe製品にアドバイザリ - いずれも「クリティカル」脆弱性含む
宛先に複数メアド、問題気づくも対応作業中に誤送信 - 茨城県
「Ivanti Endpoint Manager」に深刻な脆弱性 - 修正パッチを公開
「Adobe Acrobat/Reader」にアップデート - 脆弱性2件を修正
「Citrix Workspace app」のWindows版に複数の脆弱性が判明
「Chrome」にセキュリティアップデート - 脆弱性4件を解消
Fortinet、セキュリティアドバイザリ10件を公開
MSが月例パッチを公開 - ゼロデイ脆弱性含む79件に対応
ファンクラブ限定アプリで個人情報を誤表示 - キャッシュ設定に不備
サーバにランサム攻撃、個人情報流出の可能性 - 福井電機