Fortinet、セキュリティアドバイザリ10件を公開
Fortinetは現地時間9月10日、セキュリティアドバイザリを公開し、同社複数製品における脆弱性を明らかにした。脆弱性を修正したバージョンへアップデートするよう求めている。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて、あらたに10件のセキュリティアドバイザリを公開したもの。
「FortiSOAR」「FortiClient」「FortiClientEMS」「FortiAnalyzer」「FortiManager」「FortiEDR Manager」「FortiSandbox」「FortiADC」などの脆弱性について明らかにした。同社ファイアウォール製品に搭載されている「FortiOS」に関するアドバイザリはなかった。
重要度を見ると、4段階中上から2番目にあたる「高(High)」とレーティングされたアドバイザリが1件。8件については、1段階低い「中(Medium)」としており、のこる1件を「低(Low)」とした。「クリティカル(Critical)」とされる脆弱性は含まれていない。
重要度が「高(High)」とされた脆弱性は、「FortiSOAR」に判明した認証不備の脆弱性「CVE-2024-4863」。悪用には認証が必要となるが、細工したHTTPリクエストにより、管理者のパスワードに対してブルートフォース攻撃が可能になるという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されている。
(Security NEXT - 2024/09/11 )
ツイート
関連リンク
- Fortinet:Inadequate user validation and no brute force protection on change password requests
- Fortinet:Improper Neutralization of Special Elements used in a Command in DAS component
- Fortinet:FortiClient - Lack of client-side certificate validation in ZTNA service
- Fortinet:Multiple path traversal in administrative interface
- Fortinet:Cookie security policy bypass
- Fortinet:IDOR on download logs feature
- Fortinet:FortiClient(All) - Lack of client-side certificate validation using SAML SSO
- Fortinet:access to backend information and logs via RestAPI on shared environments
- Fortinet:Sensitive files disclosure in diagnostic logs download
- Fortinet:Unencrypted keychain permanent password
- フォーティネットジャパン
PR
関連記事
「n8n」に今月2件目の「クリティカル」脆弱性 - 旧版に影響
受託運営したセミナーでメールの誤送信が発生 - テレビ愛媛
講師がサポート詐欺被害、個人情報含む私物PCが遠隔操作 - 群馬県
阿波銀で顧客情報の不正持出が判明、金銭着服も - 職員を処分
システムでランサム被害、受注や出荷に遅滞 - 興和江守
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
