Fortinet、セキュリティアドバイザリ10件を公開
Fortinetは現地時間9月10日、セキュリティアドバイザリを公開し、同社複数製品における脆弱性を明らかにした。脆弱性を修正したバージョンへアップデートするよう求めている。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせて、あらたに10件のセキュリティアドバイザリを公開したもの。
「FortiSOAR」「FortiClient」「FortiClientEMS」「FortiAnalyzer」「FortiManager」「FortiEDR Manager」「FortiSandbox」「FortiADC」などの脆弱性について明らかにした。同社ファイアウォール製品に搭載されている「FortiOS」に関するアドバイザリはなかった。
重要度を見ると、4段階中上から2番目にあたる「高(High)」とレーティングされたアドバイザリが1件。8件については、1段階低い「中(Medium)」としており、のこる1件を「低(Low)」とした。「クリティカル(Critical)」とされる脆弱性は含まれていない。
重要度が「高(High)」とされた脆弱性は、「FortiSOAR」に判明した認証不備の脆弱性「CVE-2024-4863」。悪用には認証が必要となるが、細工したHTTPリクエストにより、管理者のパスワードに対してブルートフォース攻撃が可能になるという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されている。
(Security NEXT - 2024/09/11 )
ツイート
関連リンク
- Fortinet:Inadequate user validation and no brute force protection on change password requests
- Fortinet:Improper Neutralization of Special Elements used in a Command in DAS component
- Fortinet:FortiClient - Lack of client-side certificate validation in ZTNA service
- Fortinet:Multiple path traversal in administrative interface
- Fortinet:Cookie security policy bypass
- Fortinet:IDOR on download logs feature
- Fortinet:FortiClient(All) - Lack of client-side certificate validation using SAML SSO
- Fortinet:access to backend information and logs via RestAPI on shared environments
- Fortinet:Sensitive files disclosure in diagnostic logs download
- Fortinet:Unencrypted keychain permanent password
- フォーティネットジャパン
PR
関連記事
役員の業務依頼を装うフィッシング攻撃で被害 - マリモHD
個人情報含むメールを外部関係者へ誤送信 - 工業所有権情報・研修館
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
海外子会社にサイバー攻撃、経路や影響を調査 - 河西工業
GitLab、セキュリティアップデートを公開 - 脆弱性15件に対応
Veeam製バックアップ管理ソフトに深刻な脆弱性 - アップデートが公開
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
1月はフィッシング報告数が6.2%増 - URL件数は減少
