「FortiOS」に複数脆弱性 - 一部で悪用報告も
また6件の脆弱性に言及した4件のアドバイザリについては、重要度を2番目に高い「高(High)」とした。「csfdデーモン」に判明した脆弱な認証に起因する脆弱性「CVE-2024-48886」「CVE-2024-50563」についてはCVSS基本値が「9.0」と評価されている。
これら脆弱性は、「FortiOS」以外にも「FortiProxy」「FortiManager」「FortiAnalyzer」などが影響を受けるという。
パストラバーサルの脆弱性「CVE-2024-48884」「CVE-2024-48885」や、認証を必要とすることなくDoS攻撃が可能となる「CVE-2024-46668」「CVE-2024-46670」が「7.5」で続いた。
さらにVPNサービスをクラッシュさせることが可能となる「CVE-2023-42785」「CVE-2023-42786」など、「中(Medium)」とされる脆弱性7件のほか、「低(Low)」とされる脆弱性3件について明らかにしている。
同社は脆弱性の影響を受けるバージョンを示すとともに、アップデートや回避策についてアナウンスし、注意を呼びかけている。今回のアドバイザリで言及された脆弱性は以下のとおり。
CVE-2022-23439
CVE-2023-42785
CVE-2023-42786
CVE-2023-46715
CVE-2024-36504
CVE-2024-46665
CVE-2024-46666
CVE-2024-46668
CVE-2024-46669
CVE-2024-46670
CVE-2024-48884
CVE-2024-48885
CVE-2024-48886
CVE-2024-50563
CVE-2024-52963
CVE-2024-54021
CVE-2024-55591
(Security NEXT - 2025/01/15 )
ツイート
関連リンク
- Fortinet:FG-IR-23-293
- Fortinet:FG-IR-23-407
- Fortinet:FG-IR-23-473
- Fortinet:FG-IR-23-494
- Fortinet:FG-IR-24-219
- Fortinet:FG-IR-24-221
- Fortinet:FG-IR-24-250
- Fortinet:FG-IR-24-259
- Fortinet:FG-IR-24-266
- Fortinet:FG-IR-24-267
- Fortinet:FG-IR-24-282
- Fortinet:FG-IR-24-326
- Fortinet:FG-IR-24-373
- Fortinet:FG-IR-24-535
- フォーティネットジャパン
PR
関連記事
米当局、MS関連のゼロデイ脆弱性6件を悪用リストに追加
「GitLab」にアップデート - 脆弱性15件を修正
Adobe、InDesignやLightroomなど9製品にアップデート
「Ivanti EPM」に複数脆弱性 - 過去公表脆弱性とあわせて解消
SAP、セキュリティアドバイザリ26件を新規公開 - 「クリティカル」も
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
2月のMS月例パッチが公開 - ゼロデイ脆弱性6件含む55件に対処
講師が商業施設で個人情報含む私物PC紛失 - 北海道武蔵女子短大
県選管サイトに個人情報含むデータを誤掲載 - 神奈川県
ウェブサーバにマルウェア、情報流出は否定 - アジア学院
