Fortinet、セキュリティアドバイザリ10件を公開
Fortinetは現地時間9月10日、セキュリティアドバイザリを公開し、同社複数製品における脆弱性を明らかにした。脆弱性を修正したバージョンへアップデートするよう求めている。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて、あらたに10件のセキュリティアドバイザリを公開したもの。
「FortiSOAR」「FortiClient」「FortiClientEMS」「FortiAnalyzer」「FortiManager」「FortiEDR Manager」「FortiSandbox」「FortiADC」などの脆弱性について明らかにした。同社ファイアウォール製品に搭載されている「FortiOS」に関するアドバイザリはなかった。
重要度を見ると、4段階中上から2番目にあたる「高(High)」とレーティングされたアドバイザリが1件。8件については、1段階低い「中(Medium)」としており、のこる1件を「低(Low)」とした。「クリティカル(Critical)」とされる脆弱性は含まれていない。
重要度が「高(High)」とされた脆弱性は、「FortiSOAR」に判明した認証不備の脆弱性「CVE-2024-4863」。悪用には認証が必要となるが、細工したHTTPリクエストにより、管理者のパスワードに対してブルートフォース攻撃が可能になるという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されている。
(Security NEXT - 2024/09/11 )
ツイート
関連リンク
- Fortinet:Inadequate user validation and no brute force protection on change password requests
- Fortinet:Improper Neutralization of Special Elements used in a Command in DAS component
- Fortinet:FortiClient - Lack of client-side certificate validation in ZTNA service
- Fortinet:Multiple path traversal in administrative interface
- Fortinet:Cookie security policy bypass
- Fortinet:IDOR on download logs feature
- Fortinet:FortiClient(All) - Lack of client-side certificate validation using SAML SSO
- Fortinet:access to backend information and logs via RestAPI on shared environments
- Fortinet:Sensitive files disclosure in diagnostic logs download
- Fortinet:Unencrypted keychain permanent password
- フォーティネットジャパン
PR
関連記事
フィッシング契機に端末不正操作、個人情報流出を確認 - 共立メンテナンス
国立医薬品食品衛生研究所でフィッシング被害 - さらなる攻撃の踏み台に
広く利用されるVSCode拡張機能「Live Server」に脆弱性 - 未修正状態続く
OpenText製品向けID統合基盤「OTDS」に脆弱性 - 修正版を公開
米当局、「Dell RP4VMs」や「GitLab」の脆弱性悪用に注意喚起
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
米国拠点でメルアカに不正アクセス - アダルトグッズメーカー
サイトが改ざん被害、無関係ページで不自然なアクセス増 - 藤田鍍金
理工学部でSSD紛失、内部に調査で取得した個人情報 - 慶大
JALシステム障害、原因はデータ誤消去 - 発覚おそれログ改ざん
