Fortinetの「FortiOS」に複数脆弱性 - 重要度は「中」

Fortinetは、同社アプライアンス製品が搭載する「FortiOS」において複数の脆弱性に対処したことを明らかにした。

各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせ、現地時間5月14日に「FortiOS」に関するセキュリティアドバイザリ5件を公開したもの。一部脆弱性は「FortiProxy」も影響を受ける。

脆弱性によって影響を受けるバージョンは異なるが、6件の脆弱性を解消したこと明らかにした。重要度はいずれも4段階中、上から3番目にあたる「中（Medium）」とレーティング。「クリティカル（Critical）」「高（High）」とされるアドバイザリはなかった。

具体的には、ウェブユーザーインタフェースに判明したバッファオーバーフローの脆弱性「CVE-2023-46714」を修正。管理者権限を持つ場合に任意のコードが実行可能で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.2」と評価されている。

さらにIPアドレスのなりすましが可能となる「SSL-VPNコンポーネント」に判明した「CVE-2023-45586」へ対応した。「SSL-VPNトンネルモード」において別のユーザーのIPアドレスを偽装し、パケットを送信することが可能だという。

（Security NEXT - 2024/05/15 ） ツイート

PR

関連記事

「FortiOS」にバッファオーバーフローの脆弱性 - アップデートで修正
「Adobe ColdFusion」に緊急性高いRCE脆弱性 - 依存関係に起因
Google、「Chrome 144」をリリース - 脆弱性10件を解消
2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
外部アプリ保有の会員情報が流出、原因など調査 - スマレジ
複数関連サイトで改ざん被害、一時外部に誘導 - 都教組
東京デフリンピックの審判員一覧や承諾書を紛失 - 都スポーツ文化事業団
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
「Apache Struts」にXXE脆弱性 - 修正版がリリース