Fortinet、セキュリティアドバイザリ10件を公開
Fortinetは現地時間9月10日、セキュリティアドバイザリを公開し、同社複数製品における脆弱性を明らかにした。脆弱性を修正したバージョンへアップデートするよう求めている。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて、あらたに10件のセキュリティアドバイザリを公開したもの。
「FortiSOAR」「FortiClient」「FortiClientEMS」「FortiAnalyzer」「FortiManager」「FortiEDR Manager」「FortiSandbox」「FortiADC」などの脆弱性について明らかにした。同社ファイアウォール製品に搭載されている「FortiOS」に関するアドバイザリはなかった。
重要度を見ると、4段階中上から2番目にあたる「高(High)」とレーティングされたアドバイザリが1件。8件については、1段階低い「中(Medium)」としており、のこる1件を「低(Low)」とした。「クリティカル(Critical)」とされる脆弱性は含まれていない。
重要度が「高(High)」とされた脆弱性は、「FortiSOAR」に判明した認証不備の脆弱性「CVE-2024-4863」。悪用には認証が必要となるが、細工したHTTPリクエストにより、管理者のパスワードに対してブルートフォース攻撃が可能になるという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されている。
(Security NEXT - 2024/09/11 )
ツイート
関連リンク
- Fortinet:Inadequate user validation and no brute force protection on change password requests
- Fortinet:Improper Neutralization of Special Elements used in a Command in DAS component
- Fortinet:FortiClient - Lack of client-side certificate validation in ZTNA service
- Fortinet:Multiple path traversal in administrative interface
- Fortinet:Cookie security policy bypass
- Fortinet:IDOR on download logs feature
- Fortinet:FortiClient(All) - Lack of client-side certificate validation using SAML SSO
- Fortinet:access to backend information and logs via RestAPI on shared environments
- Fortinet:Sensitive files disclosure in diagnostic logs download
- Fortinet:Unencrypted keychain permanent password
- フォーティネットジャパン
PR
関連記事
「Chrome 149」がリリース - セキュリティ情報は近日公開
JPRS、ドメインやDNSを学べるマンガ冊子を教育機関へ無償配布
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
郵便物が所在わからず、原因は不明 - 日本郵便
学校説明会の案内メールで誤送信 - サッカー総合専門学校
企業向け一斉送信メールに名簿ファイルを誤添付 - 沖縄県
宿泊予約サービスの口座情報が改ざん、不正送金被害 - ポラリスHD
中学校でサポート詐欺被害、1000万円が不正送金 - 牧之原市
